病毒名称(中文):
QQ小偷155648
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
155648
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是针对QQ即时聊天软件的盗号木马。它运行后,会生成病毒文件至系统目录下,修改注册表增加启动项。然后注入QQ的进程,窃取用户的QQ号、密码、Q币金额、QQ等级等相关信息。
1.生成文件.
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar
2.生成CSLID组件
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
Default=""
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe"
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
ThreadingModel="Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息,并将用户QQ的Q币金额,等级相关的信息
连同账号密码一并发送到木马种植者的邮箱中.
5.病毒文件还会生成一个_xr.bat的文件来实现病毒的自删除功能.