Worm.QQTran.bp

病毒行为

Worm.QQTran.bp

病毒别名： 处理时间：2007-06-13 威胁级别：★

中文名称： 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

这是一个盗取QQ密码的病毒，它还能大量下载其它的病毒。

1：拷贝与释放文件

病毒运行后会释放与拷贝自身

%系统目录分区%\\\\Program Files\\\\Internet Explorer\\\\PLUGINS\\\\System64.Jmp

%系统目录分区%\\\\Program Files\\\\Internet Explorer\\\\PLUGINS\\\\System64.Sys (Win32.Troj.QQPass.wm.57632)

之后把这两个文件设定为隐藏、系统文件属性

2：更改注册表

病毒会更改以下两处注册表值，加入ShellHook里面运行，使system64.sys插入到系统里面进程中运行

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\ShellExecuteHooks

{754FB7D8-B8FE-4810-B363-A788CD060F1F}

HKEY_CURRENT_USER\\\\CLSID\\\\{754FB7D8-B8FE-4810-B363-A788CD060F1F}\\\\InProcServer32

(Default) = "C:\\Program Files\\Internet Explorer\\PLUGINS\\System64.Sys"

3：盗号与传播

病毒会检测自己插入的进程是否是QQ的主程序，若发现是，则寻找QQ的登录窗口，并在用户输入密码时通过发消息

的方式尝试获取QQ的号码与密码，一但获取成功，则通过网站的方式发送出去，网站地址是

http://www.******l.com/qq/qqll.asp

病毒还会尝试把自己发送给QQ的好友，传播自己。

4：下载其它病毒

病毒还会下载以下病毒。

http://www.****ft.cn/11/qqhx.exe

http://www.****ft.cn/11/wow.exe

http://www.****ft.cn/11/hx2.exe

http://www.****ft.cn/11/jh.exe

http://www.****ft.cn/11/mh.exe

http://www.****ft.cn/11/qjsj.exe

http://www.****ft.cn/11/wmgj.exe

http://www.****ft.cn/11/wd.exe

http://www.****ft.cn/11/wl.exe

http://www.****ft.cn/11/zt.exe

http://www.****ft.cn/11/zx.exe

http://www.****ft.cn/11/tl.exe

http://www.****ft.cn/11/my.exe