病毒名称(中文):
QQ盗号木马120312
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
120312
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒通过读取内存盗取用户的账号信息,并连同被盗QQ号的QQ等级、Q币等信息一起发给木马种植者。
1.生成文件.
C:\ProgramFiles\InternetExplorer\ConnectionWizard\isignup.dll
C:\ProgramFiles\InternetExplorer\ConnectionWizard\isignup.sys
2.生成CSLID组件
HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
Default=""
HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32
Default="C:\ProgramFiles\InternetExplorer\ConnectionWizard\isignup.sys"
HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32
ThreadingModel="Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
4.生成其他注册表项
HKEY_CURRENT_USER\Software\Microsoft\qqjdd
HKEY_CURRENT_USER\Software\Microsoft\qqjdd
DL="2"
5.病毒运行后把isignup.sys注入到非系统进程当中.通过读取内存盗取用户的账号信息,并将用户QQ的Q币金额,等级相关的信息
连同账号密码一并发送到木马种植者的邮箱中.
6.病毒文件还会生成一个_xiaren.bat的文件来实现病毒的自删除功能.