最熟悉的陷阱 QQ盗号木马分析

互联网 | 编辑: 黄蔚 2008-08-14 00:30:00转载 一键看全文

详细分析

该病毒的行为详细描述如下:

1. 建立目录c:\Recycled, 图标为回收站的图标(正常的回收站名为Recycler)。目录下有Recycled.exe、Recycledbk.exe等病毒文件,这些文件都是系统隐藏属性。为了隐藏自身,目录下还有一个"文件免疫"文件、一个名为"文件免疫."的文件夹,防止用户删除此目录。

2. 在每个盘下生成一个autorun.inf文件夹,文件夹下有一个"文件免疫"文件、一个名为"文件免疫."的文件夹,防止用户删除此目录,还可以迷惑用户,让用户以为这些目录是某些软件生成的免疫文件夹。

其中,D:下的autorun.inf文件夹下有rundll32.exe,spiderNt.exe病毒文件。

每个autorun.inf\文件免疫.目录下有一个名为AQ的文件,这是病毒的配置信息。

3. 修改userinit启动项,追加病毒文件的路径。修改后的userinit键值为如下形式:

userinit.exe,c:\Recycled\Recycled.exe

4. 在QQ目录下释放一个病毒文件"QQ.exe ",文件图标与QQ的图标相同,但没有版本信息和数字签名。(正常的QQ.exe有版本信息和数字签名,可以通过数字签名验证。)

在桌面上创建了一个QQ的AllUser链接C:\Documents and Settings\All Users\桌面\腾讯QQ.lnk,指向病毒释放的伪装QQ程序(C:\Program Files\Tencent\QQ\"QQ.exe ")。

监视QQ程序的启动,当用户启动QQ.exe时,病毒会关闭QQ.exe程序,启动"QQ.exe "病毒程序。病毒程序启动后创建的界面与QQ2008界面十分相似,并且有QQ木马扫描的选项和扫描进度条。

5. 通过伪造的登陆界面盗取用户的QQ帐号,通过邮箱发送给病毒作者。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 2 页< 上一页12
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑