概述
病毒別名:
處理時間:2003-10-28
威脅級別:★★
中文名稱:QQ狂盜王
病毒類型:木馬
影響系統:Win9x/Win2000/WinXP/Win2003
病毒行為:
編寫工具:
病毒彩用VB編寫
傳染條件:
被動安裝。被安裝的系統會被盜取QQ密碼
發作條件:
當QQ運行登錄時,病毒會能通過誘騙和鍵盤攔截來盜取QQ密碼。
系統修改:
複製病毒複本
C:WinntsystemCOMMAND.EXE
C:Winntsystemsystem.dll (鍵盤攔截程式)
%Windir%winhe1p.exe
%Windir%system.dll
%Windir%abins.exe
C:Program Fileswindows.exe
C:Program Filessystem.dll
病毒在每個複本的目錄同樣釋放VB6的運行庫檔案:
mswinsck.ocx
Msvbvm60.dll
對於Win9x系統修改WIN.ini檔案
【windows】
Run = %Windir%abins.exe
修改註冊表自我啟動:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"winhelp" = "%windir%winhe1p.exe"
"Rundll32" = "c:Program Fileswindows.exe"
"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"
"ScanReg" = 病毒第一次運行的位置
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"winhelp" = "%windir%winhe1p.exe"
"Rundll32" = "c:Program Fileswindows.exe"
"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"
"ScanReg" = 病毒第一次運行的位置
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
"winhelp" = "%windir%winhe1p.exe"
"Rundll32" = "c:Program Fileswindows.exe"
"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"
"ScanReg" = 病毒第一次運行的位置
發作現象:
模擬QQ登錄界面,來欺騙用戶(如圖QQ1.jpg)
特別說明:
病毒載入時會釋幾個執行檔(個數隨機,檔案名稱以PKG開頭的可執行程式)到系統的臨時資料夾%temp%、Windows安裝目錄%Windir%、系統目錄%system%下,用來互相監視進程,保證病毒的生存期。病毒激活時會自動關閉WINDOWS的系統程式,如:資源管理器、註冊表編輯器。
