| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.PSWTroj.QQPass.kb.155648

2008-08-14 23:01:32  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名稱(中文):

  QQ小偷155648

  病毒別名:

  

  

  威脅級別:

  ★☆☆☆☆

  病毒類型:

  偷密碼的木馬

  病毒長度:

  155648

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  該病毒是針對QQ即時聊天軟件的盜號木馬。它運行後,會生成病毒文件至系統目錄下,修改注冊表增加啓動項。然後注入QQ的進程,竊取用戶的QQ號、密碼、Q幣金額、QQ等級等相關信息。

  1.生成文件.

  C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe

  C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe

  C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar

  2.生成CSLID組件

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

  Default=""

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

  Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe"

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

  ThreadingModel="Apartment"

  3.生成注冊表啓動項

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

  4.病毒運行後把sysinfo.exe注入到Explorer.exe進程當中.通過讀取內存盜取用戶的賬號信息,並將用戶QQ的Q幣金額,等級相關的信息

  連同賬號密碼一並發送到木馬種植者的郵箱中.

  5.病毒文件還會生成一個_xr.bat的文件來實現病毒的自刪除功能.
 
病毒名稱(中文): QQ小偷155648 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 155648 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒是針對QQ即時聊天軟件的盜號木馬。它運行後,會生成病毒文件至系統目錄下,修改注冊表增加啓動項。然後注入QQ的進程,竊取用戶的QQ號、密碼、Q幣金額、QQ等級等相關信息。 1.生成文件. C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar 2.生成CSLID組件 HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} Default="" HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe" HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 ThreadingModel="Apartment" 3.生成注冊表啓動項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} 4.病毒運行後把sysinfo.exe注入到Explorer.exe進程當中.通過讀取內存盜取用戶的賬號信息,並將用戶QQ的Q幣金額,等級相關的信息 連同賬號密碼一並發送到木馬種植者的郵箱中. 5.病毒文件還會生成一個_xr.bat的文件來實現病毒的自刪除功能.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有