Win32.PSWTroj.QQPass.kb.155648

2008-08-14 23:01:32  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　QQ小偷155648

　　病毒别名:

　　

　　

　　威胁级别:

　　★☆☆☆☆

　　病毒类型:

　　偷密码的木马

　　病毒长度:

　　155648

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　该病毒是针对QQ即时聊天软件的盗号木马。它运行后，会生成病毒文件至系统目录下，修改注册表增加启动项。然后注入QQ的进程，窃取用户的QQ号、密码、Q币金额、QQ等级等相关信息。

　　1.生成文件.

　　C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe

　　C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe

　　C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar

　　2.生成CSLID组件

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

　　Default=""

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

　　Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe"

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

　　ThreadingModel="Apartment"

　　3.生成注册表启动项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

　　4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息，并将用户QQ的Q币金额，等级相关的信息

　　连同账号密码一并发送到木马种植者的邮箱中.

　　5.病毒文件还会生成一个_xr.bat的文件来实现病毒的自删除功能.

 

 

 

病毒名称(中文): QQ小偷155648 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 155648 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 该病毒是针对QQ即时聊天软件的盗号木马。它运行后，会生成病毒文件至系统目录下，修改注册表增加启动项。然后注入QQ的进程，窃取用户的QQ号、密码、Q币金额、QQ等级等相关信息。 1.生成文件. C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar 2.生成CSLID组件 HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} Default="" HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe" HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 ThreadingModel="Apartment" 3.生成注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} 4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息，并将用户QQ的Q币金额，等级相关的信息 连同账号密码一并发送到木马种植者的邮箱中. 5.病毒文件还会生成一个_xr.bat的文件来实现病毒的自删除功能.