病毒描述
Trojan/PSW.QQHunter
病毒類型:木馬
病毒大小:414K左右
傳播方式:網路
危害等級:★★
Trojan/PSW.QQHunter通過安裝定時器和掛接鉤子來獲取用戶的QQ密碼,然後通過自帶的SMTP引擎傳送到木馬安裝者的信箱里去。不同於以往大多數QQ木馬,只能針對單一版本的QQ,該木馬可以盜取幾乎所有版本的QQ賬號、密碼。
具體技術特徵如下
1.在感染計算機上釋放下列檔案:%System%\audioex255.exe 病毒主程式
%System%\suderc.dll 病毒用來判斷是否盜取成功的標誌檔案,只有在病毒發現QQ運行後才會生成。
2.在註冊表啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下創建:
"SynTPEhn" = %System%\audioex255.exe
這樣,在Windows啟動時,病毒就可以自動執行。
3.病毒運行後會安裝定時器,每隔一段時間查看當前視窗及其子視窗中是否有含有“QQ號碼:,QQ密碼:”等QQ登入視窗中的字樣,依此來判斷QQ是否運行。
4.當發現QQ運行後,病毒通過掛接windows鉤子來記錄用戶的所有鍵盤輸入,然後把盜取的賬號和密碼傳送到設定好的信箱中。值得注意的是木馬作者在木馬里留有一個自己的信箱([email protected]),這樣盜取的所有賬號、密碼就會同時發往這個信箱。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
