病毒名称(中文):
QQ盗号木马49172
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
49172
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个QQ盗号木马。它运行后会删除QQ医生的执行文件,然后注入QQ内存,读取用户的QQ号和密码。该病毒在偷QQ号的同时,还会记录用户的IP地址。
该病毒是一个QQ的盗号木马.病毒运行后会生成一个VXD文件,并把VXD文件注入到进程当中.
1.生成文件:
%Windir%\system32\SysYH.VXD
2.生成CLSID组件
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
Default=""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
Default="%Windir%\system32\SysYH.vxd"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
ThreadingModel="Apartment"
3.修改注册表,增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}
4.病毒运行后会删除QQ医生的执行文件QQDoctor\QQDoctor.exe
5.病毒运行后会登录www.ip.cn网站来获得客户机器的IP地址.
6.病毒会在同目录下生成一个_xr.bat文件实现自删除.
6.病毒运行后会通过读取内存的方式截获客户QQ的账号,密码,等级,Q币等相关资料.然后把获得的QQ的相关资料发送到木马种植者的邮箱.