Win32.PSWTroj.QQPass.153731
2008-08-11 20:25:19 来源:WEB开发网病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 157868
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个木马下载器。它属于某木马下载器家族的成员,进入用户系统后,会下载自己的升级文件,从而让自己具备盗窃QQ帐号的功能。
在磁盘中释放出以下文件:
C:\net.exe
会从以下注册表中读取信息:
"HKLM\SOFTWARE\Microsoft\InternetExplorer"
"HKCR\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}\InPRocServer32"
"HKCR\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}\InprocServer32"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{406F94F0-504F-4a40-8DFD-58B0666ABEBD}"
"HKLM\SOFTWARE\Microsoft\InternetExplorer\Toolbar"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{02496EBD-8455-48db-B3C7-5DAC97D9F5A7}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}"
"HKLM\SOFTWARE\CNNIC\CdnClient"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{2A0176FE-008B-4706-90F5-BBA532A49731}"
病毒会连接作者指定的网址:
病毒会从http://dd*.te***kl.info/net.exe下载文件至本地计算机c:\net.exe
域名:"dd*.te***kl.info"端口:80(TCP)
dd*.te***kl.info/net.exe
在系统中创建了以下进程:
"net.exe"
更多精彩
赞助商链接