“QQ盗号木马88576”(Win32.PSWTroj.QQPass.dh.88576),该病毒是针对QQ即时聊天工具的盗号木马。病毒运行后会修改注册表增加启动项,破坏QQ医生的运行。然后通过内存读取的方式盗取用户的QQ号和密码,并把密码发送到木马种植者的手上。
“AUTO分身下载器70144”(Worm.Delf.az.70144),这是一个利用AUTO技术进行传播的木马下载器。它会劫持杀毒程序,在各磁盘分区的根目录下生成 AUTO文件autorun.inf 与extensionsk.exe,然后下载其它病毒到用户电脑中运行。该病毒还具有一定的自我保护能力。
一、“QQ盗号木马88576”(Win32.PSWTroj.QQPass.dh.88576) 威胁级别:★
这个QQ盗号木马具有一定的对抗能力。它在进入系统后,抢先搜索QQ医生的进程QQDoctor.exe,将它删除,防止该文件阻挠它进行盗号活动。
同时,病毒在系统盘的%WINDOWS%\System32\目录下释放出病毒文件qqmm.vxd,并将该文件的数据写入系统注册表,实现开机自启动。如果这个步骤顺利完成,病毒就会在用户启动电脑后自动注入到QQ即时聊天工具的进程中,以读取内存的方式获得用户的QQ号及密码。
此外,病毒还会登录病毒作者指定的IP查询网站,获得用户电脑的真实IP地址,然后将IP地址与盗得的QQ号一同发送到病毒作者的邮箱中。
一些病毒作者在掌握了QQ号后,会洗走Q币,并将吉利的QQ号卖掉。而对于那些胃口更大的病毒作者来说,这些QQ号则会被用来传播其它病毒和诈骗原用户的好友,引发更多的网络安全问题。如果发现QQ等即时通讯工具号码被盗,应尽快向运营商举报和通知好友,以尽可能挽回损失。
二、“AUTO分身下载器70144”(Worm.Delf.az.70144) 威胁级别:★★
这个病毒是一个下载器,由于使用了AUTO技术,它的传播能力较高。该毒进入系统后,立刻在系统盘%WINDOWS%\System32\目录下释放出病毒文件Extensionsk.exe,并将该文件复制到所有的磁盘分区根目录下,同时生成的还有指向该文件的autorun.inf文件。只要有了这两个文件,该病毒也就具备了AUTO传播的能力。如果用户在中毒电脑上使用U盘等移动存储设备,病毒就能自动复制到该设备中。
接下来,病毒会修改系统注册表,将Extensionsk.exe设置为启动项,实现开机自动运行。只要实现这一步,病毒会马上把系统时间改为2005-10-31,让依赖系统时间进行激活和升级的安全软件瘫痪,并添加映像劫持项目,劫持目前较为常见品牌的杀毒软件,让它们失效。如果用户试图启动这些杀毒软件,只会不断激活病毒。
然后,病毒试图连接病毒作者指定的远程服务器http://www.h***ui.org/UpFile/UpFace,下载其它病毒文件到用户电脑中运行。不过毒霸反病毒工程师检查后发现,该地址已经失效。
在进行以上动作的同时,病毒会删除自己的原始文件,防止被用户找到。并建立两个svchost.exe进程,将自身的病毒代码写入其中运行。这两个svchost.exe会互相监视对方,互为防守,这样一来,用户就算删除掉其中一个,另一个也能瞬间进行恢复。
