Win32.QQTran.m

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

其它

病毒长度:

243571

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个集木马与感染型病毒于一体的病毒。该病毒运行后，会在系统目录生成多个随机命名的木马副本，并添加启动项，使能开机启动。该病毒还会感染QQ.exe，使得用户运行QQ.exe时首先运行木马程序。该木马是一个键盘记录器，注入到大量进程中，并通过键盘记录来盗取各种密码及其它资料，并通过socket发送出去。不同于其它QQTran蠕虫或其它感染型病毒，该病毒不能主动传播。

1，生成文件

%system%\????.dll(复制好几个相同文件的副本)

2，感染文件

%tencent%\QQ\QQ.exe及其它少量满足特定条件的进程。

感染大小为40字节，功能是启动木马病毒。

3，添加注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"????"="rundll32.exe????.dllRundll"

其中????为随机名字

4，进程注入技术

注入到大量进程中，来隐藏自己

5，盗取方法

键盘记录，并通过socket发送到指定地址。