至顶网›安全频道 ›技术解析“QQ盗号木马200704”盗窃手法

技术解析“QQ盗号木马200704”盗窃手法

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

Win32.Troj.OnlineGames.ns.200704是针对QQ即时聊天工具的盗号木马。病毒运行后利用监视通讯的办法，盗取用户的账号信息，并发送到木马种植者指定的邮箱中。

来源：论坛整理 2008年10月4日

关键字：安全防范病毒查杀病毒资料

病毒名称(中文)：QQ盗号木马200704

威胁级别：★☆☆☆☆

病毒类型：偷密码的木马

病毒长度：200704

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

该木马是针对QQ即时聊天工具的盗号木马。病毒运行后利用监视通讯的办法，盗取用户的账号信息，并发送到木马种植者指定的邮箱中。

1.生成文件

C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll

2.生成注册表，增加启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695} @ ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
\InProcServer32 @ "C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks {D544C22D-1F70-4B1E-873D-D8DABEB26695} ""

3.病毒运行后会把dll注入到进程当中，通过设置消息钩子来盗取用户的账号资料。

4.病毒运行后还会删除源文件自身。

5.把盗取的账号资料通过邮箱发送的方式发送到木马种植者手上。

技术解析“QQ盗号木马200704”盗窃手法

业界热点: