扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 155624
影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒运行后会修改注册表增加启动项,实现自启动,然后注入QQ进程,以读取内存的方式盗取用户的QQ帐号和密码。
1.生成文件.
C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.rar
2.生成CSLID组件
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
Default = ""
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
Default = "C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe"
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
ThreadingModel = "Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息,并将用户QQ的Q币金额,等级相关的信息
连同账号密码一并发送到木马种植者的邮箱中.
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者