QQ之盜155648

Win32.PSWTroj.AtmQQ.a.155648

病毒名稱(中文):

QQ之盜155648病毒別名:

威脅級別:

★☆☆☆☆病毒類型:

偷密碼的木馬病毒長度:

155648

1. 病毒運行後，產生以下病毒檔案:

%Program Files%\Common Files\Microsoft Shared\MSINFO\atmQQ.dll

%Program Files%\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll

病毒目錄\BT.BAT

2. 檢查系統是否安裝了卡巴斯基, 若安裝了卡巴斯基, 將系統年份修改為1966, 禁用卡巴斯基.

3. 註冊atmQQ2.dll為系統外掛程式, 讓系統資源管理器啟動時自動載入.

4. 設定全局訊息鉤子, 以進入所有有視窗的程式.

5. 刪除QQ醫生的程式檔案, 盜取QQ帳號密碼, 並傳送出去.

6. 在病毒所在目錄下生成一個自刪除檔案, 刪除自身.

1. atmQQ2.dll由10/"DLLFILE"資源釋放.

2. 程式將atmQQ2.dll註冊為系統鉤子:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {D544C22D-1F70-4B1E-873D-D8DABEB26695};

HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InprocServer32, "%Common Files\Microsoft Shared\MSINFO\atmQQ2.dll"

3. 程式創建了一個位置和大小為零的視窗, 類名為"ListBox", 視窗標題為"exe_atm".

4. 自刪除腳本BT.BAT

:try

del "C:\Virus\20071022\MCxVbopsCy (3).exe.v"

if exist "C:\Virus\20071022\MCxVbopsCy (3).exe.v" goto try

del %0