病毒名称(中文):
QQ盗号木马6995
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
6995
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取QQ帐号的木马程序。它将病毒文件注入至系统上有界面的程序进程,搜索QQ的进程,然后展开全局监视,盗取用户的QQ号和密码。
这是一个盗QQ的木马程序,通过挂钩的方式把病毒文件注入至系统上有界面的程序进程.
创建Clsid指向病毒文件,创建注册表BHO和设置注册表的ShellExecuteHooks值,使它们都指向病毒创建的Clsid,达到开机启运的目的.
病毒运行后释放以下病毒文件:
%ProgramFiles%\InternetExplorer\PLUGINS\WinSys8v.Sys
%ProgramFiles%\InternetExplorer\PLUGINS\SysWin7s.Jmp
调用WinSys8v.sys病毒文件的导出函数,安装全局钩子,钩子类型为:WM_MOVE.
盗取系统上的QQ帐号信息,并发送到木马种植者指定的126邮箱中.
病毒创建注册表:
HKEY_CLASSES_ROOT\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}
HKEY_CLASSES_ROOT\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}@""
HKEY_CLASSES_ROOT\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}\InProcServer32@"%ProgramFiles%\InternetExplorer\PLUGINS\WinSys8v.Sys"
HKEY_CLASSES_ROOT\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}\InProcServer32ThreadingModel"Apartment"
HKEY_CURRENT_USER\Software\Tencent\Data88
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Value:"{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}"
Data:""