词条 | Troj.PSWQQDragon.r |
释义 | 病毒别名: 处理时间:2003-10-28 威胁级别:★★ 中文名称:QQ狂盗王 病毒类型:木马 影响系统:Win9x/Win2000/WinXP/Win2003 病毒行为: 编写工具: 病毒彩用VB编写 传染条件: 被动安装。被安装的系统会被盗取QQ密码 发作条件: 当QQ运行登录时,病毒会能通过诱骗和键盘拦截来盗取QQ密码。 系统修改: 复制病毒复本 C:WinntsystemCOMMAND.EXE C:Winntsystemsystem.dll (键盘拦截程序) %Windir%winhe1p.exe %Windir%system.dll %Windir%abins.exe C:Program Fileswindows.exe C:Program Filessystem.dll 病毒在每个复本的目录同样释放VB6的运行库文件: mswinsck.ocx Msvbvm60.dll 对于Win9x系统修改WIN.ini文件 [windows] Run = %Windir%abins.exe 修改注册表自我启动: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "winhelp" = "%windir%winhe1p.exe" "Rundll32" = "c:Program Fileswindows.exe" "COMMAND" = "C:WINNTSYSTEMCOMMAND.exe" "ScanReg" = 病毒第一次运行的位置 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "winhelp" = "%windir%winhe1p.exe" "Rundll32" = "c:Program Fileswindows.exe" "COMMAND" = "C:WINNTSYSTEMCOMMAND.exe" "ScanReg" = 病毒第一次运行的位置 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices "winhelp" = "%windir%winhe1p.exe" "Rundll32" = "c:Program Fileswindows.exe" "COMMAND" = "C:WINNTSYSTEMCOMMAND.exe" "ScanReg" = 病毒第一次运行的位置 发作现象: 模拟QQ登录界面,来欺骗用户(如图QQ1.jpg) 特别说明: 病毒加载时会释几个可执行文件(个数随机,文件名以PKG开头的可执行程序)到系统的临时文件夹%temp%、Windows安装目录%Windir%、系统目录%system%下,用来互相监视进程,保证病毒的生存期。病毒激活时会自动关闭WINDOWS的系统程序,如:资源管理器、注册表编辑器。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。