Win32.PSWTroj.QQ.nh.80104是個盜取用戶QQ帳號的木馬!
基本介紹
- 外文名:Win32.PSWTroj.QQ.nh.80104
- 處理時間:2006-12-06
- 威脅級別:★
- 病毒類型:木馬
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
這是個盜取用戶QQ帳號的木馬!
1、複製自身為:%Program Files%\Common Files\Microsoft Shared\MSINFO\SysInfo.dll
2、釋放檔案:%Program Files%\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp
3、對explorer.exe進行注入,被注入後的explorer.exe會設定一個計時器不停的修改註冊表項:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F78DF28} ""
HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F78DF28}\(Default) ""
HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F78DF28}\InProcServer32\(Default) "%\Program Files%\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp"
HKCR\CLSID\{08315C1A-9BA9-4B7C-A432-26885F78DF28}\InProcServer32\ThreadingModel "Apartment"
4、啟動IE訪問網路。
5、SysInfo.wmp會判斷載入自己的進程名,如果是QQS003TP.Exe(QQ安全檢查主程式)則結束該進程,如果是QQ.exe則刪除QQ.exe同一目錄下的檔案npkcrypt.sy。
6、創建鍵盤和滑鼠鉤子。
7、獲取QQ登入視窗,截獲QQ帳號信息後傳送到指定信箱。
8、通過QQ聊天視窗傳送自身的複製體。
