病毒名称(中文):
QQ盗号者AUTO版110713
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
32379
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马程序。它会盗取QQ即时聊天工具的帐号和密码。为扩大传染范围,它还会在各磁盘分区中生成AUTO病毒。
1.复制文件:
%programfiles%\InternetExplorer\PLUGINS\NinSys74.Sys
%programfiles%\InternetExplorer\PLUGINS\NysWin75.Jmp
另外在每个磁盘根目录下都有AutoRun:
Autorun.exe
Autorun.inf
2.添加到到注册表:
添加以下注册表项,AppInit_Dlls和系统服务,随系统开机启动:
[HKEY_CLASSES_ROOT\CLSID\{AAF3B135-E338-491A-B3CB-9D75DA02C5D1]
@=%programfiles%\InternetExplorer\PLUGINS\NysWin75.Jmp
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AAF3B135-E338-491A-B3CB-9D75DA02C5D1]
@=%programfiles%\InternetExplorer\PLUGINS\NysWin75.Jmp
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]{AAF3B135-E338-491A-B3CB-9D75DA02C5D1}
3.破坏方式
该木马运行后,复制自身到IE所在文件夹,并且在每个磁盘跟目录下都创建Autorun自动播放程序,添加到ShellExecuteHooks,
随系统开机启动,启动后注入到Explorer.exe。该木马会监视系统中是否有QQ进程,假如有则注入其中,盗取用户账号密码等信息。
4.相关网址
http://c*r.m**d3*5.net/qqqq.asp
可能通过该网址将盗取的信息发送出去。