病毒名称(中文):
不死之身QQ贼
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
106617
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个QQ盗号木马。它会通过消息监视的方法盗取QQ号码,并不断地自我修复,防止被用户查杀。
1、释放文件
C:\ProgramFiles\InternetExplorer\PLUGINS\NewSys55.Sys
C:\ProgramFiles\InternetExplorer\PLUGINS\Nv_Win3s.Jmp这个是EXE文件的副本,病毒可用此文件来恢复EXE文件
2、添加注册表启动项
HKEY_CLASSES_ROOT\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}\InProcServer32
"C:\ProgramFiles\InternetExplorer\PLUGINS\NewSys55.Sys"
HKEY_CURRENT_USER\Software\Tencent\Ot
E9"kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}\InProcServer32
"C:\ProgramFiles\InternetExplorer\PLUGINS\NewSys55.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{D29DCEE0-457B-45A2-A92D-741B95B7723B}
3、木马功能
每个7分钟下载http://b**g.w**d.cn/images/banner.jpg到%temp%目录并运行。
通过消息钩子记录用户的键盘操作,盗取用户的QQ帐号密码。
将盗取的QQ帐号密码传到http://www.b**k.com和http://www.p**j.cn