天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

“QQ之盗”释放病毒文件伺机窥探用户密码

2008-3-6赛迪网佚名
 

"QQ之盗139373"(Win32.Troj.AmorBc.c.139373)这是一个QQ盗号木马。病毒运行后会释放病毒文件至程序文件夹,并利用ShellExecuteHooks以自启动。通过注入进程,监控用户使用的QQ聊天工具,并通过读取QQ目录下的LoginUinList.dat获取用户号码列表,和删除QQ目录下的ewh.db,诱使用户重新输入密码等方式盗取用户的QQ号码和密码等信息。另外,病毒还会从远程服务器下载病毒文件安装至用户计算机和删除QQ医生主执行文件。

"梦幻之盗dp"(Win32.Troj.OnlineGames.dp.81920)这是一个盗号木马,病毒会在客户计算机上生成多个病毒相关文件,并通过创建注册表以达到病毒开机能自启动。病毒会修改注册表使客户计算器机上的系统防火墙和系统自动更新功能失效,盗取客户计算机上的网络游戏《梦幻西游》的账号信息。

一、"QQ之盗139373"(Win32.Troj.AmorBc.c.139373) 威胁级别:★

1.生成文件

%programfiles%\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll

2.注入进程,监控QQ用户登陆窗口和以下网址,盗取用户QQ号码和密码等信息,发送至远程邮箱

http://***p.qq.com/clienturl_239?ADUIN=0&ADSESSION=0&ADTAG=CLIENT.QQ.1631_LoginWindow.0
https://ac***nt.qq.com/cgi-bin/auth_forget?forgetType=PW&PcacheTime=1179536999

3.病毒会读取QQ目录下的LoginUinList.dat获取用户号码列表

4.从远程服务器下载病毒文件安装至用户计算机

hxxp://hm.5460w.cn/kav.exe

5.该病毒留下以下恶意信息

"ymygc....."
"cc"
"cckabalaji"
"bc"
"fuckavp"
"别杀我啊"
"草死卡巴"

二、"梦幻之盗dp"(Win32.Troj.OnlineGames.dp.81920) 威胁级别:★

1.病毒把自身复制至

%windir%\system32\kvmxdis.exe

并生成以下文件:

%windir%\system32\kvmxacf.dll
%windir%\system32\kvmxdma.dll
%windir%\fonts\armease.fon

2.病毒修改注册表禁用系统防火墙和系统自动更新。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行