Win32.Troj.QQGame.b
作者:冰のFA 来源:广西安全网络收集整理 更新:2007-12-1 11:37:32 点击:
处理时间:
威胁级别:★★
中文名称:
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:
这是一个窃取QQ游戏的帐号、密码、密码保护资料等信息的木马病毒。病毒将自身复制到系统目录并改名为“NOTEDAD.EXE”,与记事本程序非常相似;然后修改文本文件(*.txt)、批处理文件(*.bat)、注册表文件(*.Reg)、INI文件(*.ini)、DBT文件(*.dbt)关联到病毒程序;每当用户打开这类文件的时候,病毒就悄悄运行了。病毒加载启动项目,颇具迷惑性的是,病毒不直接将自己添加到病毒启动项,而是用了一个巧妙的办法,通过文件关联来间接启动病毒程序。病毒冒充qq游戏窃取游戏帐号、密码、密码保护资料等信息。病毒到预定的网址下载配置文件,然后下载配置文件中指定的文件并运行(下载的是病毒win32.Hack.Gamet),并将窃取的密码信息发送到指定邮箱(病毒内置了邮箱地址,配置文件中也包含邮箱地址)。
1.将自身复制为System32\NOTEDAD.EXE。
2.修改注册表,使得文本文件(*.txt)、批处理文件(*.bat)、注册表文件(*.Reg)、INI文件(*.ini)、DBT文件(*.dbt)都关联到病毒程序,每当用户打开这类文件的时候,病毒就悄悄运行了。
HKEY_CLASSES_ROOT\txtfile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\batfile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\inifile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\regfile\shell\open\command
@="NOTEDAD.EXE %1"
HKEY_CLASSES_ROOT\.dbt
@="DBTFILE"
HKEY_CLASSES_ROOT\DBTFILE
@=""
HKEY_CLASSES_ROOT\DBTFILE\shell
@=""
HKEY_CLASSES_ROOT\DBTFILE\shell\open
@=""
HKEY_CLASSES_ROOT\DBTFILE\shell\open\command
@="NOTEDAD.EXE %1"
添加启动项,因为DBT文件已经关联到病毒程序,所以实际上是启动了病毒程序。
KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
"IESet"="IExplorer.dll .dbt"
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
"IESet"="IExplorer.dll .dbt"
3.冒充腾讯公司的QQ游戏,窃取用户的qq游戏号码(有些是qq号码)、游戏密码、游戏币、密码保护资料等信息。
4.下载网络上的配置文件,包括邮件地址、文件下载地址等,病毒根据配置信息下载网络文件(win32.Hack.Gamet病毒)到本地运行,并将窃取的qq游戏相关的密码资料发送到指定邮箱。
转截请注明:来自 广西安全网络 Http://www.gxfa.com
数据载入中,请稍后……