|
|
日前“QQ抢劫犯”木马家族又出了一名新成员Trojan/PSW.QQRobber.agv“QQ抢劫犯”变种agv。 8 \& ` |+ ~. V8 H
& O- U- Z: N1 q. }$ w6 J; z2 y “QQ抢劫犯”变种agv采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。
8 G% w5 H; X+ y& \$ ]6 b/ q* ?7 y/ r2 ]; K5 g
“QQ抢劫犯”变种agv运行后,会在被感染计算机系统的“C:\Program Files\Common Files\”目录下释放恶意DLL组件“joipor.vxd”,设置文件属性为“系统、只读、隐藏”,某些情况下还会自我复制到该目录下,并重新命名为“rejoice.dll”。 * U( ~# F' a* t h, h& V
6 y4 }: ?5 _" _' g6 g “QQ抢劫犯”变种agv运行时,会将释放出的恶意DLL组件“joipor.vxd”插入到系统桌面程序“explorer.exe”和“QQ.exe”等进程中加载运行。在后台执行恶意操作,隐藏自我,防止被轻易地查杀。删除“QQ”的键盘加密组件“npkcrypt.sys”,致使“QQ”失去对用户账号信息的保护。 & X% T* L% X" K% d j
3 K8 B8 A9 g8 S9 [# J8 `( U
“QQ抢劫犯”变种agv是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序。运行后,会首先确认自身是否已经被插入到指定进程之中。一旦确认插入成功,便会通过安装消息钩子、线程注入、内存截取等技术,盗取用户输入的账号和密码等机密信息,并在后台将窃取到的信息(包括计算机名、当前IP地址、计算机用户名、QQ账号、QQ密码等)发送到骇客指定的远程服务器站点上(地址加密存放),从而给用户的虚拟财产造成不同程度的损失。
! n+ R. Z* n) j; l. L8 H D
8 g K6 u/ k% Q* r “QQ抢劫犯”变种agv运行时,还会在被感染计算机系统的后台连接骇客指定的远程服务器站点,下载指定恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临着不同程度的威胁。 9 d4 R2 s% G# b D9 C& G& t/ D
2 `0 W! p: h, d `3 x& J' x “QQ抢劫犯”变种agv会通过修改注册表键“ShellExecuteHooks”的方式实现木马的开机自启。 |
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2009-4-16 00:18:34
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡