Q小偷155648病毒别名:
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:155648
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
该病毒是针对QQ即时聊天软件的盗号木马。它运行后,会生成病毒文件至系统目录下,修改注册表增加启动项。然后注入QQ的进程,窃取用户的QQ号、密码、Q币金额、QQ等级等相关信息。
1.生成文件.
C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.rar
2.生成CSLID组件
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
Default = ""
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
Default = "C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe"
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
ThreadingModel = "Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息,并将用户QQ的Q币金额,等级相关的信息
连同账号密码一并发送到木马种植者的邮箱中.
5.病毒文件还会生成一个 _xr.bat的文件来实现病毒的自删除功能.