這是一個能把自己注入Explorer.exe進程的病毒,它能盜取用戶的QQ密碼。
基本介紹
- 外文名:Win32.Troj.PswQQ.dw
- 性質:一種木馬病毒
- 功能:盜取用戶的QQ密碼。
- 處理時間:2006-12-25
- 影響系統:Win 9x/ME,Win 2000/NT,Win 2003
病毒別名: 處理時間:2006-12-25 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
1:拷貝與釋放檔案
病毒運行後,會把自己拷貝到下面的資料夾中:
C:\Program Files\Outlook Express
並命名為xyqq(沒有擴展名),並在同一目錄下釋放
一個名為newqq.dll的檔案,此檔案也是個病毒,病毒名為Win32.Troj.PswQQ.p.46725
2:修改註冊表
病毒會修改以下兩處註冊表鍵值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
{25E1EECB-E580-4032-97A2-A456D33820D1}
HKEY_CLASSES_ROOT\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\InProcServer32
默認 - C:\Program Files\Outlook Express\newqq.dll
ThreadingModel -Apartment
使自己能隨Windows啟動,並插入到Explorer.exe進程空間中運行
3:盜取QQ密碼
病毒會刪除QQ密碼保護檔案npkcrypt.sys,使QQ密碼保護失效,
並讀取用戶輸入的QQ登錄號碼與密碼,並把它們經過簡單的加密後
記錄在C:\myok.exe檔案中,之後再把該檔案通過郵件的方式傳送到
黑客事前指定的信箱中,使用戶的QQ號碼丟失.
