§ 概述

病毒别名：

处理时间：2003-10-28

威胁级别：★★

中文名称：QQ狂盗王

病毒类型：木马

影响系统：Win9x/Win2000/WinXP/Win2003

病毒行为:

编写工具：

病毒彩用VB编写

传染条件:

被动安装。被安装的系统会被盗取QQ密码

发作条件:

当QQ运行登录时，病毒会能通过诱骗和键盘拦截来盗取QQ密码。

§ 系统修改:

复制病毒复本

C:WinntsystemCOMMAND.EXE

C:Winntsystemsystem.dll (键盘拦截程序）

%Windir%winhe1p.exe

%Windir%system.dll

%Windir%abins.exe

C:Program Fileswindows.exe

C:Program Filessystem.dll

病毒在每个复本的目录同样释放VB6的运行库文件：

mswinsck.ocx

Msvbvm60.dll

对于Win9x系统修改WIN.ini文件

【windows】

Run = %Windir%abins.exe

修改注册表自我启动：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"winhelp" = "%windir%winhe1p.exe"

"Rundll32" = "c:Program Fileswindows.exe"

"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"

"ScanReg" = 病毒第一次运行的位置

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

"winhelp" = "%windir%winhe1p.exe"

"Rundll32" = "c:Program Fileswindows.exe"

"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"

"ScanReg" = 病毒第一次运行的位置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

"winhelp" = "%windir%winhe1p.exe"

"Rundll32" = "c:Program Fileswindows.exe"

"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"

"ScanReg" = 病毒第一次运行的位置

§ 发作现象:

模拟QQ登录界面，来欺骗用户（如图QQ1.jpg)

§ 特别说明:

病毒加载时会释几个可执行文件（个数随机，文件名以PKG开头的可执行程序）到系统的临时文件夹%temp%、Windows安装目录%Windir%、系统目录%system%下，用来互相监视进程，保证病毒的生存期。病毒激活时会自动关闭WINDOWS的系统程序，如：资源管理器、注册表编辑器。

• 正阳散
• 正阳桥疏渠记碑
• 正阳楼
• 正阳门
• 正阳门箭楼
• 正阳门（前门）
• 正除
• 正露丸
• 正青
• 正静
• 正面上手发飘球
• 正面传球
• 正面双手垫球
• 正面战场
• 正面投球
• 正面放映合成
• 正音法
• 正顺庙
• 正首
• 正驳
• 正骨医院
• 正骨手法
• 正骨推拿
• 正骨水拼音名：ZhengguShui
• 正骨龙