您的位置: 病毒名称(中文):QQ之盗155648
病毒类型:偷密码的木马
病毒长度:155648
影响系统:
病毒行为:
这是一个盗取QQ帐号密码的木马程序。
1. 病毒运行后,产生以下病毒文件:
%Program Files%\Common Files\Microsoft Shared\MSINFO\atmQQ.dll
%Program Files%\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll
病毒目录\BT.BAT
2. 检查系统是否安装了卡巴斯基, 若安装了卡巴斯基, 将系统年份修改为1966, 禁用卡巴斯基.
3. 注册atmQQ2.dll为系统插件, 让系统资源管理器启动时自动加载.
4. 设置全局消息钩子, 以进入所有有窗口的程序.
5. 删除QQ医生的程序文件, 盗取QQ帐号密码, 并发送出去.
6. 在病毒所在目录下生成一个自删除文件, 删除自身.
1. atmQQ2.dll由10/"DLLFILE"资源释放.
2. 程序将atmQQ2.dll注册为系统钩子:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {D544C22D-1F70-4B1E-873D-D8DABEB26695};
HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InprocServer32, "%Common Files\Microsoft Shared\MSINFO\atmQQ2.dll"
3. 程序创建了一个位置和大小为零的窗口, 类名为"ListBox", 窗口标题为"exe_atm".
4. 自删除脚本BT.BAT
:try
del "C:\Virus\20071022\MCxVbopsCy (3).exe.v"
if exist "C:\Virus\20071022\MCxVbopsCy (3).exe.v" goto try
del %0