【3.A.S.T】网络安全爱好者's Archiver

黑客学习

valen886 发表于 2009-2-11 12:16

【3AST分享】技术解析“QQ盗号木马200704”盗窃手法

技术解析“QQ盗号木马200704”盗窃手法
技术解析“QQ盗号木马200704”盗窃手法
Win32.Troj.OnlineGames.ns.200704是针对QQ即时聊天工具的盗号木马。病毒运行后利用监视通讯的办法,盗取用户的账号信息,并发送到木马种植者指定的邮箱中。

病毒名称(中文):QQ盗号木马200704


威胁级别:★☆☆☆☆


病毒类型:偷密码的木马


病毒长度:200704


影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003


病毒行为:


该木马是针对QQ即时聊天工具的盗号木马。病毒运行后利用监视通讯的办法,盗取用户的账号信息,并发送到木马种植者指定的邮箱中。


1.生成文件









C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll



2.生成注册表,增加启动项










HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695} @ ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
\InProcServer32 @ "C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
\InProcServer32 ThreadingModel "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer      ShellExecuteHooks {D544C22D-1F70-4B1E-873D-D8DABEB26695} ""



3.病毒运行后会把dll注入到进程当中,通过设置消息钩子来盗取用户的账号资料。


4.病毒运行后还会删除源文件自身。


5.把盗取的账号资料通过邮箱发送的方式发送到木马种植者手上。
零度开水
[url=http://wpa.qq.com/msgrd?V=1&Uin=356964239&Site=3AST论坛&Menu=yes][img]http://bbs.krshadow.com/images/default/qq.gif[/img][/url]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.