Win32.PSWTroj.MyMuma.a.307313是一個QQ的盜號木馬.病毒運行後會生成一個BAK檔案,並把BAK檔案注入到進程當中.
基本介紹
- 中文名:Win32.PSWTroj.MyMuma.a.307313
- 病毒類型:偷密碼的木馬病毒
- 長度:307313 m
- 影響系統:Win9xWin2000WinXP
- 病毒行為:QQ盜號木馬
- 生成檔案:%Windir%\system32\SysYH.BAK
病毒類型,病毒行為,
病毒類型
偷密碼的木馬病毒長度:307313影響系統:Win9xWin2000WinXP
病毒行為
該病毒
1.生成檔案:
%Windir%\system32\SysYH.BAK
2.生成CLSID組件
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
Default=""
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
Default="C:\WINDOWS\system32\SysYH.bak"
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
ThreadingModel="Apartment"
3.修改註冊表,增加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}
4.病毒運行後如果發現%Windir%\system32目錄下有SysYH.BAK檔案存在,則刪除SysYH.BAK檔案,重新生成SysYH.vxd檔案.
5.病毒運行後獲得客戶機器的IP位址.
6.病毒會在同目錄下生成一個_xr.bat檔案實現自刪除.
6.病毒運行後會通過讀取記憶體的方式截獲客戶QQ的賬號,密碼,等級,Q幣等相關資料.然後把獲得的QQ的相關資料傳送到木馬種植者的信箱.
