病毒名称(中文):
QQ盗号木马112755
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
112755
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个QQ盗号木马。该病毒运行后会生成注册表启动项,注入QQ进程盗取密码,并把盗取的密码发送到木马种植者指定的邮箱当中。
该病毒是QQ的一个盗号木马.该病毒运行后会衍生病毒文件至系统目录下。还会生成注册表启动项,注入进程.最后把盗取的密码等信息发送到木马种植者的邮箱当中.
1.生成文件.
C:\ProgramFiles\InternetExplorer\PLUGINS\Sy_Win7k.Jmp
C:\ProgramFiles\InternetExplorer\PLUGINS\Wn_Sys8x.Sys
2.生成CSLID组件
HKEY_CLASSES_ROOT\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}
HKEY_CLASSES_ROOT\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}@""
HKEY_CLASSES_ROOT\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}\InProcServer32@"C:\ProgramFiles\InternetExplorer\PLUGINS\Wn_Sys8x.Sys"
HKEY_CLASSES_ROOT\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}\InProcServer32ThreadingModel"Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{9963387B-212E-4643-B207-82DAEA0E713D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{9963387B-212E-4643-B207-82DAEA0E713D}
4.生成其他注册表项
HKEY_CURRENT_USER\Software\Tencent
HKEY_CURRENT_USER\Software\Tencent\Date78
HKEY_CURRENT_USER\Software\Tencent\Date78Ft"kk"
5.病毒运行后把Sy_Win7k.Jmp注入到非系统进程当中.通过读取内存盗取用户的账号信息,并将用户QQ的Q币金额,等级相关的信息
连同账号密码一并发送到木马种植者的邮箱中.