|
|
| |
|
|
江民公布“武汉男生” .(Trojan/QQMsg.WhBoy.ap ) 变种技术分析报告
|
|
www.jiangmin.com
2004-6-22 18:30:52 作者: 信息出自:江民科技
|
|
| |
|
2004年3月23日,江民反病毒中心率先截获 “武汉男生” .(Trojan/QQMsg.WhBoy.ap ) 变种。该木马通过QQ传播,专门盗取游戏帐号和密码,通过电子邮件发送给病毒作者。
.Trojan/QQMsg.WhBoy.ap
病毒长度:59,665 bytes
病毒类型:木马
影响平台:Win9X/2000/XP/NT/Me/2003
Trojan/QQMsg.WhBoy.ap通过QQ发送短消息的形式,发送指向病毒的URL链接进行传播,还发送传奇游戏者的密码和装备信息到域名为tom.com的邮箱。
病毒传播过程和特征如下:
1.首先检查标题为"Xleo"的窗口是否已经打开(用来测定病毒是否已经在运行),如果没有那么就创建一个名为"Xleo"的窗口。
2.试图用记事本程序运行 Telnets.exe
3.在系统目录下生成隐藏文件:Telnets.exe,Sychost.exe ,Ftps.exe
4.修改注册表:
HKEY_CLASSES_ROOT\txtfile\shell\open\command下添加"(default)" = "%System%\telnets.exe %1"键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添加"windows update" = "%System%\sychost.exe"键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加"Shell" = "Explorer.exe %System%\ftps.exe"键值
5.在System.ini文件里添加shell=Explorer.exe %System%\ftps.exe
|
|
| |
|
|
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
|
|
