病毒名称(中文):
QQ网游盗号者14452
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
14452
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个QQ网络游戏盗号木马。它会盗取QQ三国、自由QQ幻想等游戏的帐号和密码。
1、释放文件
C:\WINDOWS\Fonts\jsqzcssb.dll一些配置信息,做了加密处理
C:\WINDOWS\Fonts\jszybxw.fon盗取游戏帐号后,该木马将帐号发送到此文件中指定的URL
C:\WINDOWS\system32\jsqzcyc.dll木马将这个DLL文件加载到游戏的进程空间,盗取游戏帐号
C:\WINDOWS\system32\jsqzczc.exe病毒第一次运行时用来启动jsqzcyc.dll
2、修改注册表
在注册表中注册jsqzcyc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C09F784-A234-B289-C209-D451E346F3C3}\InprocServer32
默认值"C:\WINDOWS\system32\jsqzcyc.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C09F784-A234-B289-C209-D451E346F3C3}\InprocServer32
ThreadingModel"Apartment"
添加执行挂钩,让系统自己加载jsqzcyc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{3C09F784-A234-B289-C209-D451E346F3C3}"jsqzcyc.dll"
3、jsqzcyc.dll被加载到游戏的进程空间后,从jszybxw.fon中读取游戏保存帐号的内存地址,并通过读写游戏的内存
实现了盗取游戏帐号,最后将取得的帐号发送到http://www.ya*zi*20.com/123/post.asp
