病毒名称(中文):
QQ自动关闭盗号者73216
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
73216
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该程序是一个QQ盗号木马。它主要利用网页挂马、文件捆绑等方式传播,通过读写其内存获取账号和密码,然后以网络收信空间的方式发送给病毒作者。
1.程序运行后,生成文件
%Systen32%\qqmmck.vxd
%System32%\vercls.exe
2.在注册表中添加了注册项,修改注册表自启动项使病毒随系统一起启动,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92B1E826-2EEF-45B5-87C8-7639C7C9935F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92B1E826-2EEF-45B5-87C8-7639C7C9935F}
项名:@值:""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92B1E826-2EEF-45B5-87C8-7639C7C9935F}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92B1E826-2EEF-45B5-87C8-7639C7C9935F}\InProcServer32
项名:@值:"C:\WINDOWS\system32\qqmmck.vxd"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92B1E826-2EEF-45B5-87C8-7639C7C9935F}\InProcServer32
项名:ThreadingModel值:"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
项名:{92B1E826-2EEF-45B5-87C8-7639C7C9935F}值:""
3.木马会注入桌面进程explorer.exe。通过远程线程激活病毒代码进行代码注入;遍历进程查找QQ进程将其关闭;QQ重启后
病毒判定所在进程是否为QQ登陆窗口,若是则通过读写其内存获取账号和密码,以网络收信空间的方式发送给病毒作者。
4.接收网址:http://f**sh.chinaren.com/ip/ip.php
http://www.c***ds.cn/qqwww/uoyyou.asp
http://q****008.ys168.com
