病毒名称(中文):
QQ盗号者155624
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
155624
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒运行后会修改注册表增加启动项,实现自启动,然后注入QQ进程,以读取内存的方式盗取用户的QQ帐号和密码。
1.生成文件.
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar
2.生成CSLID组件
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
Default=""
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe"
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
ThreadingModel="Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息,并将用户QQ的Q币金额,等级相关的信息
连同账号密码一并发送到木马种植者的邮箱中.
5.病毒文件还会生成一个_xr.bat的文件来实现病毒的自删除功能.