QQ木马是一款针对QQ即时聊天工具的盗号木马。病毒运行后,会修改注册表,添加启动项,破坏QQ医生的操作。然后通过读取内存窃取用户的QQ号和密码,并将密码发送给木马种植者。
行为分析
1.生成文件:
%sys32dir%\qqmm.vxd
2.生成CLSID组件
HKEY _ CLASES _ ROOT \ CLsid \
HKEY _ CLASES _ ROOT \ CLsid \ @ ' '
HKEY _ CLASES _ ROOT \ CLsid \ \ InPro Server32
HKEY _ CLASES _ ROOT \ CLsid \ \ InProcServer32 @ ' c : \ WINDOWs \ system32 \ qqcmm . vxd '
HKEY _ CLASES _ ROOT \ CLsid \ \ InProceserver 32线程模型'公寓'
3.修改注册表并添加启动项目
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Explorer \ shellexecute hooks
4.病毒运行后,病毒源文件本身将被删除。
5.病毒运行后,会将vxd文件注入进程。
6.病毒运行后,会删除QQ医生的执行文件QQ医生QQ医生. exe
7.病毒运行后,会登录http ://f * * * h . ch * * * * * en.com/IP/ip.php的网站获取客户端机器的IP地址。
8.病毒运行后,会通过读取内存拦截客户的QQ账号、密码等相关信息,然后将获取的QQ相关信息发送到木马种植者的邮箱。
典型病毒
QQ冒充黑客
病毒名称(中文):QQ伪装黑客16 38 40(无空格)病毒别名:威胁等级:病毒类型:木马病毒长度:163 840影响系统: Win9X Winme Win NT Win 2000 Win XP Win 2003
病毒行为
该病毒是一个用于QQ即时聊天工具的盗号木马。病毒运行后,会释放伪装成系统桌面进程的病毒文件,修改注册表添加启动项,然后通过读取内存窃取密码,发送给木马种植器。
1.生成文件
%sys32dir%\explorer.exe
%sys32dir%\systemlr.dll
2.生成注册表启动键
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run explorer.exe ' c : \ Windows \ system32 \ explorer . exe '
3.病毒运行后,会生成一个带有病毒文件名的常驻进程。
4.病毒还会将Dll文件注入explorer.exe和其他非系统进程。
5.病毒会将窃取的密码发送到木马种植者的邮箱。
通过聊天工具传播QQ盗号木马885 76(无空间)
病毒名称(中文):QQ盗号木马885 76病毒别名:威胁等级:病毒类型:木马病毒长度3360885 76影响系统: Win9X Winme Win NT Win 2000 Win XP Win 2003
应付策略
归根结底,QQ木马是一个可以窃取你秘密的程序。是一种捆绑文件~可以窃取你的QQ密码和聊天记录。平时不要随意接收QQ上传的文件和别人在QQ上打开的网址。特别是对方在网吧上网的时候,会自动发送文件或者网站,所以不要打开,除非对方是你熟悉的朋友,先问问他有没有发给你。如果它中毒了,使用卡巴斯基在安全模式下杀死它。QQ硬盘里有一个QQ杀毒工具,下载后可以用来杀毒。
QQ病毒查杀工具
百度可以搜索,这里有两个链接,终极应对策略查杀工具QQ木马
通过eXeScope,可以彻底改造QQ,从而防止任何本地木马:因为它们根本无法知道你在运行QQ或者输入你的密码,所以不可能窃取你的QQ密码。
找到QQ可执行文件的位置,将QQ目录复制到另一个位置,更改QQ可执行文件的名称,如“复制qq2000b.exe”。这样做的目的是防止木马使用第一判断方法。
使用ExeScope打开QQ的可执行文件,找到要修改的项目。
位置为[资源][对话框][对话框450]。修改QQ登录的标题栏。修改密码字段的属性。
这样做会导致密码以明文形式出现在输入框中,可能会被别人偷看,但为了防止木马偷看,只能这样做。保存设置。现在运行“Copy qq2000b.exe”看一看。如果大家都采取这样的防护措施,那么QQ木马的消失也就不远了。