病毒介紹
病毒別名: 處理時間:2007-06-13 威脅級別:★
中文名稱: 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是一個盜取QQ密碼的病毒,它還能大量下載其它的病毒。
1:拷貝與釋放檔案
病毒運行後會釋放與拷貝自身
%系統目錄分區%\\Program Files\\Internet Explorer\\PLUGINS\\System64.Jmp
%系統目錄分區%\\Program Files\\Internet Explorer\\PLUGINS\\System64.Sys (Win32.Troj.QQPass.wm.57632)
之後把這兩個檔案設定為隱藏、系統檔案屬性
2:更改註冊表
病毒會更改以下兩處註冊表值,加入ShellHook裡面運行,使system64.sys插入到系統裡面進程中運行
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks
HKEY_CURRENT_USER\\CLSID\\\\InProcServer32
(Default) = "C:\Program Files\Internet Explorer\PLUGINS\System64.Sys"
3:盜號與傳播病毒會檢測自己插入的進程是否是QQ的主程式,若發現是,則尋找QQ的登錄視窗,並在用戶輸入密碼時通過發訊息
的方式嘗試獲取QQ的號碼與密碼,一但獲取成功,則通過網站的方式傳送出去,網站地址是
http://www.******l.com/qq/qqll.asp
病毒還會嘗試把自己傳送給QQ的好友,傳播自己。
4:下載其它病毒
病毒還會下載以下病毒。
http://www.****ft.cn/11/qqhx.exe
http://www.****ft.cn/11/wow.exe
http://www.****ft.cn/11/hx2.exe
http://www.****ft.cn/11/jh.exe
http://www.****ft.cn/11/mh.exe
http://www.****ft.cn/11/qjsj.exe
http://www.****ft.cn/11/wmgj.exe
http://www.****ft.cn/11/wd.exe
http://www.****ft.cn/11/wl.exe
http://www.****ft.cn/11/zt.exe
http://www.****ft.cn/11/zx.exe
http://www.****ft.cn/11/tl.exe
http://www.****ft.cn/11/my.exe
