Trojan.QQPSW.EasyGet.r

来源：rising 作者：出处：巧巧读书 2006-03-06 进入讨论组

病毒分类

WINDOWS下的PE病毒

病毒名称

别名

好友盗号器变种R 　

病毒长度

危害程度

传播途径

行为类型

WINDOWS下的木马程序

感染

病毒发作

木马“好友号好好盗”的最新变种，采用VB编写。

病毒采用图片格式文件的图标，伪装成图片诱骗用户去点击。首次运行后从体内释放一张图片到临时目录下，并启动IE查看该图片。实际上用户从IE地址栏上可以看出正在浏览的图片文件地址与自己双击的文件地址不符。

显示了图片后病毒建自己复制到windows目录下，文件名为Rund1132.exe，注意是数字1而不是字母l。

然后病毒写注册表启动项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TencentQQ : Rund1132.exe qq.dll,Rundll32
故弄玄虚，避免用户怀疑。这样，每次开机病毒都能启动。

病毒驻留内存，查找QQ窗体，不断获得当前键盘状态，从而获得用户键盘输入，进而获得用户的qq号码和密码。在成功获得qq密码后，病毒将有用信息通过邮件发送到外部主机。

病毒还设置了一个小窍门，只要同时按下Shift+小键盘区的*即可调出病毒程序的一个界面。调出界面后可以选择将软件自删除。

档案导语

3月3日，瑞星全球反病毒监测网截获一个伪装成美女图片的QQ木马病毒，并命名为“好友盗号器变种R（Trojan.QQPSW.EasyGet.r）”。瑞星反病毒专家蔡骏介绍说，该病毒是个可执行程序，不过采用了图片文件的图标，而运行后会释放出一个美女图片用IE浏览器打开，这样在普通的用户看来就是运行了一个很普通的图片文件，而其实已经被病毒感染。

解决方案

针对此病毒，瑞星将在今天下午进行升级，瑞星杀毒软件2005版17.16.40版将可彻底查杀此病毒。用户还可以随时拨打瑞星反病毒急救电话：010-82678800来寻求帮助

备注

专家介绍说，用户被病毒感染后没有显著的现象，但仔细观察的话，还是有破绽可寻：病毒发作的第一个现象：系统显示图片一般会使用“图片和传真察看器”，而不是病毒采用的IE浏览方式；第二个现象是：无论你把好友传过来的“美女图片”放在什么地方，IE打开这个“图片”时，在IE浏览器里显示的地址都是“Windows/temp”。

病毒发作的第三个现象是：当IE浏览器打开美女图片后，如果用户同时按下键盘的“shift”和小键盘上的“*”按钮，病毒会弹出一个管理界面，这是黑客留下的控制性后门。蔡骏提醒广大QQ用户，如果遇到好友给你传送图片，而图片运行后出现上述三个特征，即已经被“好友盗号器变种R”病毒感染。

巧巧读书:http://www.qqread.com/virusdb/g862853207.html 进入讨论组讨论。