木马程序,偷取QQ号及密码。
木马运行后有以下行为:
一、文件方面
将自己复制到%SYSTEM32%下,名为NTdhcp.exe,并将属性设为系统文件。同时又生成名为:Deleteme.bat的批处理文件删除原文件。
二、注册表方面
1、增加HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run:NTdhcp = %SYSDIR%\NTdhcp.exe实现开机启动。
2、将以下服务的启动类型设置为“禁用”,主要目的是使这些反病毒以及防火墙软件无法正常工作。
HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc
HKLM\SYSTEM\CurrentControlSet\Services\KWatchSvc
HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
HKLM\SYSTEM\CurrentControlSet\Services\MskService
HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
HKLM\SYSTEM\CurrentControlSet\Services\McShield
HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
三、自保护
除了将反病毒以及防火墙软件的服务禁用外,还实时监视并主动停止安全软件的服务、结束安全软件的进程,这些软件包括瑞星,Symantec,McAfee,卡巴斯基等厂商的安全软件。同时还能破坏还原精灵的保护。
四、隐私窃取
首先将QQ的密码框保护去除,接着给QQ挂上消息钩子,搜索敏感的文本框,截取QQ号以及密码,最后将信息通过电子邮件发送到设置好的电子邮箱中。
|
|
