病毒名称(中文):
QQ幻想盗号木马65697
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
65697
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对网络游戏《QQ幻想》的盗号木马程序。它利用感染可执行文件来进行传播,通过读取内存的方式盗窃游戏帐号,然后发给木马作者。它还会搜索并关闭杀毒软件卡巴斯基和瑞星。
1.程序运行后,生成文件
%WINDOWS%\mfchlp.exe
%WINDOWS%\system32\mfchlp.dll
2.在注册表中添加了注册项,如下:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
启动项名:mfchlp对应路径:%WINDOWS%\mfchlp.exe
3.病毒运行后会删除自身文件。病毒首先打开事件"JGGJDQDCT",避免病毒重复运行,病毒会遍历进程查找explorer.exe,
将mfchlp.dll注入explorer.exe进程,申请内存空间将mfchlp.dll写入,通过远程线程创建激活病毒代码进行代码注入。
4.此病毒会主动感染其他的可执行文件,被感染的文件只要用户打开,立即再次激活。该病毒开启一线程每隔1ms查找窗口类名为
AVP.AlertDialog的窗口,若找到将其关闭,查找窗口名或类名为AVP.Product_Notification、瑞星注册表监控提示的窗口,
若找到通过发送消息WM_CLOSE将其关闭;
5.病毒试图通过全局挂钩注入到所有进程中,通过相关API函数获取病毒所在进程的名称,和网络游戏名qqffo.exe进行比较,
若相同则通过读写其内存,获取网络游戏账号和密码以及其它私人信息,通过网络收信空间发给木马作者。
感染文件