科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.PSWTroj.QQPass.st.155624分析

Win32.PSWTroj.QQPass.st.155624分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒运行后会修改注册表增加启动项,实现自启动,然后注入QQ进程,以读取内存的方式盗取用户的QQ帐号和密码。

来源:论坛整理 2008年11月20日

关键字: 病毒资料 病毒查杀 安全防范

  • 评论
  • 分享微博
  • 分享邮件
 病毒名称(中文): QQ盗号者155624 病毒别名:

  威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 155624

  影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

  病毒行为:

  该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒运行后会修改注册表增加启动项,实现自启动,然后注入QQ进程,以读取内存的方式盗取用户的QQ帐号和密码。

  1.生成文件.

  C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe

  C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.exe

  C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.rar

  2.生成CSLID组件

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

  Default = ""

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

  Default = "C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe"

  HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

  ThreadingModel = "Apartment"

  3.生成注册表启动项

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

  4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息,并将用户QQ的Q币金额,等级相关的信息

  连同账号密码一并发送到木马种植者的邮箱中.

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章