這是一個盜取QQ號碼的木馬。病毒運行後會將QQ安全鎖檔案npkcrypt.sys改名為npkcrypt.bak,使安全鎖失效,並安裝鍵盤鉤子,記錄鍵盤。
基本介紹
- 中文名:Win32.Troj.QQPass.m
- 處理時間:2006-09-06
- 威脅級別:★
- 病毒類型:木馬
簡介,病毒行為,
簡介
病毒別名:
中文名稱: 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1、病毒運行後會首先查找系統目錄下是否有如下病毒檔案:
%system%\hook.dll
%system%\SVCH0ST.EXE
如果沒有則生成。
注意"SVCH0ST.EXE"中間的是數字零,病毒以此偽裝成系統檔案。
2、病毒運行SVCH0ST.EXE病毒檔案,生成_deleteme.bat檔案,病毒結束自身進程後刪除自身。
3、添加如下註冊表鍵值以便開機自動運行
[HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run]
"AutoRun"="C:\WINDOWS\system32\SVCH0ST.EXE"
4、SVCH0ST.EXE運行後載入hook.dll,將QQ目錄下的npkcrypt.sys檔案改名為npkcrypt.bak,使QQ的鍵盤安全鎖失效。
5、安裝全局鉤子對系統進行監視,記錄鍵盤。
6、連線網路,提交密碼。
