订阅病毒名稱(中文):
QQ小偷155648
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
偷密碼的木馬
病毒長度:
155648
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒是針對QQ即時聊天軟件的盜號木馬。它運行後,會生成病毒文件至系統目錄下,修改注冊表增加啓動項。然後注入QQ的進程,竊取用戶的QQ號、密碼、Q幣金額、QQ等級等相關信息。
1.生成文件.
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar
2.生成CSLID組件
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
Default=""
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe"
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
ThreadingModel="Apartment"
3.生成注冊表啓動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
4.病毒運行後把sysinfo.exe注入到Explorer.exe進程當中.通過讀取內存盜取用戶的賬號信息,並將用戶QQ的Q幣金額,等級相關的信息
連同賬號密碼一並發送到木馬種植者的郵箱中.
5.病毒文件還會生成一個_xr.bat的文件來實現病毒的自刪除功能.
