| 订阅 | 在线投稿
分享
 
 
 

Win32.PSWTroj.QQPass.102522

来源:互联网  宽屏版  评论
2008-08-14 23:01:12

病毒名称(中文):

QQ盗号木马102522

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

偷密码的木马

病毒长度:

102522

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个针对QQ聊天软件的盗号木马程序。它将自身复制到InternetExplorer的插件目录,然后修改注册表实现开机自启动。最终注入系统进程中查找QQ进程,伺机盗取QQ号及其密码。

这是一个用Delphi编写的盗号木马程序。病毒运行后会将自身复制至InternetExplorer的插件目录,并释放文件,使用ShellExecuteHooks技术

以开机自启动,然后通过HOOK技术注入至系统进程,查找QQ进程是否存在,假如存在则尝试盗取用户QQ号码和密码发送至远程服务器。

1.生成文件

%programfiles%\InternetExplorer\PLUGINS\NvSys74.Sys

%programfiles%\InternetExplorer\PLUGINS\NvSys74.Tao

%programfiles%\InternetExplorer\PLUGINS\NvWin75.Jmp

%programfiles%\InternetExplorer\PLUGINS\NvWin65.Lst

2.生成注册表项

HKEY_CLASSES_ROOT\CLSID\{5BD41097-3693-4133-820E-FDAC57AF00E2}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BD41097-3693-4133-820E-FDAC57AF00E2}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{5BD41097-3693-4133-820E-FDAC57AF00E2}

HKEY_CURRENT_USER\Software\Tencent\OkFt"kk"

3.病毒通过注入系统exe进程,查找QQ.exe进程,假如找到则开始盗取用户QQ号码和密码,并发送至远程服务器

hxxp://www.v**9v.com/q**q/q**q.asp

5.病毒还会通过FindWindowExA查找桌面程序是否Tencent_QQBar和Tencent_QQToolBar,存在则向窗口送入SC_CLOSE消息

5.尝试连接网站来获取当前用户计算机的IP地址和所在城市

hxxp://f***h.ch***en.com/ip/ip.php

病毒名称(中文): QQ盗号木马102522 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 102522 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个针对QQ聊天软件的盗号木马程序。它将自身复制到InternetExplorer的插件目录,然后修改注册表实现开机自启动。最终注入系统进程中查找QQ进程,伺机盗取QQ号及其密码。 这是一个用Delphi编写的盗号木马程序。病毒运行后会将自身复制至InternetExplorer的插件目录,并释放文件,使用ShellExecuteHooks技术 以开机自启动,然后通过HOOK技术注入至系统进程,查找QQ进程是否存在,假如存在则尝试盗取用户QQ号码和密码发送至远程服务器。 1.生成文件 %programfiles%\InternetExplorer\PLUGINS\NvSys74.Sys %programfiles%\InternetExplorer\PLUGINS\NvSys74.Tao %programfiles%\InternetExplorer\PLUGINS\NvWin75.Jmp %programfiles%\InternetExplorer\PLUGINS\NvWin65.Lst 2.生成注册表项 HKEY_CLASSES_ROOT\CLSID\{5BD41097-3693-4133-820E-FDAC57AF00E2} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BD41097-3693-4133-820E-FDAC57AF00E2} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {5BD41097-3693-4133-820E-FDAC57AF00E2} HKEY_CURRENT_USER\Software\Tencent\Ok Ft "kk" 3.病毒通过注入系统exe进程,查找QQ.exe进程,假如找到则开始盗取用户QQ号码和密码,并发送至远程服务器 hxxp://www.v**9v.com/q**q/q**q.asp 5.病毒还会通过FindWindowExA查找桌面程序是否Tencent_QQBar和Tencent_QQToolBar,存在则向窗口送入SC_CLOSE消息 5.尝试连接网站来获取当前用户计算机的IP地址和所在城市 hxxp://f***h.ch***en.com/ip/ip.php
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有