基本介紹
- 中文名:Win32.Troj.QQGame.b
- 別名:Trojan-PSW.Win32.QQGame.b[AVP]
- 威脅級別:★★
- 病毒類型:木馬
- 影響系統:Win9x / WinNT
病毒載入,入侵過程,
病毒載入
病毒載入啟動項目,頗具迷惑性的是,病毒不直接將自己添加到病毒啟動項,而是用了一個巧妙的辦法,通過檔案關聯來間接啟動病毒程式。病毒冒充qq遊戲竊取遊戲賬號、密碼、密碼保護資料等信息。病毒到預定的網址下載配置檔案,然後下載配置檔案中指定的檔案並運行(下載的是病毒win32.Hack.Gamet),並將竊取的密碼信息傳送到指定信箱(病毒內置了信箱地址,配置檔案中也包含信箱地址)。
入侵過程
1.將自身複製為System32\NOTEDAD.EXE。
2.修改註冊表,使得文本檔案(*.txt)、批處理檔案(*.bat)、註冊表檔案(*.Reg)、INI檔案(*.ini)、DBT檔案(*.dbt)都關聯到病毒程式,每當用戶打開這類檔案的時候,病毒就悄悄運行了。
HKEY_CLASSES_ROOT\txtfile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\batfile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\inifile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\regfile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\.dbt
@="DBTFILE"
HKEY_CLASSES_ROOT\DBTFILE
@=''''
HKEY_CLASSES_ROOT\DBTFILE\shell
@=''''
HKEY_CLASSES_ROOT\DBTFILE\shell\open
@=''''
HKEY_CLASSES_ROOT\DBTFILE\shell\open\command
@="NOTEDAD.EXE %1"
添加啟動項,因為DBT檔案已經關聯到病毒程式,所以實際上是啟動了病毒程式。
KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
"IESet"="IExplorer.dll .dbt"
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"
3.冒充騰訊公司的QQ遊戲,竊取用戶的qq遊戲號碼(有些是qq號碼)、遊戲密碼、遊戲幣、密碼保護資料等信息。
4.下載網路上的配置檔案,包括郵件地址、檔案下載地址等,病毒根據配置信息下載網路檔案(win32.Hack.Gamet病毒)到本地運行,並將竊取的qq遊戲相關的密碼資料傳送到指定信箱。
