QQ小偷Win32.PSWTroj.QQPass.kb.155648

taong

病毒名称(中文):QQ小偷155648
病毒别名:
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:155648
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

该病毒是针对QQ即时聊天软件的盗号木马。它运行后，会生成病毒文件至系统目录下，修改注册表增加启动项。然后注入QQ的进程，窃取用户的QQ号、密码、Q币金额、QQ等级等相关信息。

1.生成文件.
C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\6hackol.rar

2.生成CSLID组件
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}
Default = ""
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
Default = "C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe"
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32
ThreadingModel = "Apartment"

3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

4.病毒运行后把sysinfo.exe注入到Explorer.exe进程当中.通过读取内存盗取用户的账号信息，并将用户QQ的Q币金额，等级相关的信息
连同账号密码一并发送到木马种植者的邮箱中.

5.病毒文件还会生成一个 _xr.bat的文件来实现病毒的自删除功能.