一步一步学电脑
-更多文章- |
||||||||||
|
|
认识QQ木马"QQPass"
|
|
病毒名称:Trojan.PWS.QQPass.gKb6 发现日期:2002-10-14 病毒类型:特洛伊木马 感染长度:123392字节 病毒危害:低 传播速度:低 受影响系统:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me 不受影响系统:Windows 3.x, Macintosh, Unix, Linux 技术特征: 这是一个盗取密码的木马程序,能够盗取密码及用户信息。由于它是一个Visual Basic应用程序,需要有Visual Basic库才能运行。运行后,它会: 1.搜索本地机器如下程序,一旦找到即会终止其进程: Kav9x.exe Smenu.exe Ravmon.exe 2.将记事本程序%windir%Notepad.exe更名为%windir%Mspad.exe; 3.将自己复制为如下文件: %windir%Eudcedit.exe %windir%Freecell.exe %windir%Kaedit.exe %windir%Msscr.exe %windir%Notepad.exe %system%Mstray.exe 上述对系统的修改使得它与记事本进行关联,这样每次打开记事本文件时,木马都会运行。 随后它通过修改如下注册表来勾住系统: (1)将键值SystemKav %system%MSTRAY.EXE 添加至HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun; (2)将HKEY_LOCAL_MACHINESOFTWARECLASSESregfileshellopencommand 默认键值改为(Default) %windir%KAEDIT.EXE %1 (3)将HKEY_LOCAL_MACHINESOFTWARECLASSESscrfileshellopencommand 键值改为(Default) %windir%MSSCR.EXE %1 (4)将HKEY_LOCAL_MACHINESOFTWARECLASSESchm.fileshellopencommand 键值改为(Default) %windir%MSSCR.EXE %1 上述对注册表的修改,使得系统运行、打开注册表文件、运行屏保及打开编译过的帮助文件等操作时,木马都会自动运行。 木马源代码中含有如下字符串: FileDescription: Task Monitor InternalName: Winpad OriginalName: Winpad.EXE |