QQ木馬是針對QQ即時聊天工具的盜號木馬�。病毒運行后會修改注冊表增加啟動項,破壞QQ醫(yī)生的運行����。然后通過內(nèi)存讀取的方式盜取用戶的QQ號和密碼�,并把密碼發(fā)送到木馬種植者的手上��。
行為分析
1.生成文件:
%sys32dir%qqmm.vxd
2.生成CLSID組件
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTCLSID @ ""
HKEY_CLASSES_ROOTCLSIDInProcServer32
HKEY_CLASSES_ROOTCLSIDInProcServer32 @ "C:WINDOWSsystem32qqmm.vxd"
HKEY_CLASSES_ROOTCLSIDInProcServer32 ThreadingModel "Apartment"
3.修改注冊表,增加啟動項
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
4.病毒運行后會刪除病毒源文件自身.
5.病毒運行后會把vxd文件注入到進程當中.
6.病毒運行后會刪除QQ醫(yī)生的執(zhí)行文件QQDoctorQQDoctor.exe
7.病毒運行后會登錄h ttp://f***h. ch****en.c om/ip/ip.php網(wǎng)站來獲得客戶機器的IP地址.
8.病毒運行后會通過讀取內(nèi)存的方式截獲客戶QQ的賬號,密碼等相關資料.然后把獲得的QQ的相關資料發(fā)送木馬種植者的郵箱.
典型病毒
QQ偽裝盜號者
病毒名稱(中文):QQ偽裝盜號者16 38 40(無空格)病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:163 840影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為
該病毒是針對QQ即時聊天工具的盜號木馬����。病毒運行后會釋放偽裝成系統(tǒng)桌面進程的病毒文件�����,修改注冊表增加啟動項�����,然后通過內(nèi)存讀取的方式盜取密碼,并把密碼發(fā)送到木馬種植者的手上��。
1.生成文件
%sys32dir%explorer.exe
%sys32dir%systemlr.dll
2.生成注冊表啟動項
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun explorer.exe "C:WINDOWSsystem32explorer.exe"
3.病毒運行后會生成一個病毒文件名的常駐進程.
4.病毒還會把Dll文件注入到explorer.exe和其他的非系統(tǒng)進程當中.
5.病毒會把盜取的密碼發(fā)送到木馬種植者的郵箱中.
通過聊天工具傳播QQ盜號木馬885 76(無空格)
病毒名稱(中文):QQ盜號木馬885 76病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:885 76影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
應對策略
QQ木馬說到底就是可以竊取你機密的程序��,它是捆綁的一種文件~可以竊取你QQ密碼和聊天記錄.平時不要隨意接收 QQ上傳來的文件和QQ上其他人打開的網(wǎng)址.尤其是對方在網(wǎng)吧上網(wǎng)時,會自動傳來個文件或網(wǎng)站,千萬不要打開���,除非對方是你熟悉的朋友先問一下是否是他發(fā)給你的.如果中了毒就用卡巴斯基殺進安全模式殺。在QQ硬盤里有QQ病毒專殺工具,下載后殺毒就行。
QQ病毒專殺工具
百度可以搜索到���,這里提供兩個鏈接,專殺工具QQ木馬終極應對策略
通過eXeScope,可以對QQ進行徹底地改造����,這樣���,就可以防止任何本地的木馬:因為它們根本不可能知道你在運行QQ���,也不知道你在輸入密碼�,從而就不可能竊取到你的QQ密碼�。
找到QQ可執(zhí)行檔案的位置,將QQ目錄拷貝到其他位置��,并將其中QQ可執(zhí)行檔案換名����,如改為“副件qq2000b.exe”。這樣做的目的是為了防止木馬使用第一種判斷方法�����。
使用ExeScope打開QQ的可執(zhí)行檔案�,找到要修改的項�。
位置在[資源]→[對話框]→[對話框450]�����,修改QQ登錄的標題欄����。修改密碼域的屬性�。
這樣做會導致密碼以明文形式出現(xiàn)在輸入框���,可能會被別人偷看�����,不過為了防止木馬偷看�����,你只能這樣了。保存設置?���,F(xiàn)在運行“復件 qq2000b.exe”看看吧����。如果大家都采用這樣的防護措施����,離QQ木馬的消失的日子就不遠了。
