你有發現問題所在嗎?
接下來,給各位展示一個全景,哦,估計會有人看出些端倪。
看到了吧,這是個木馬程式,執行後和qq登入一模一樣,這個木馬會被釋放進QQ的安裝路徑下,檔名為qq (注意QQ後面多了一空格),病毒還會替換QQ的快捷方式,後果就一目瞭然了吧。下次開機,你會發現QQ啟動了,你習慣性的輸入了QQ號和密碼, 幾分鐘後,你的QQ就可能在另一個地方登入,這個QQ就不再是你的了。
該病毒執行後會偽裝成逼真的QQ登入視窗,不小心輸入的QQ號和密碼會立即被盜。
該病毒的行為詳細描述如下:
1. 建立目錄c:\Recycled,圖示為回收站的圖示(正常的回收站名為Recycler)。目錄下有、等病毒檔案,這些檔案都是系統隱藏屬性。為了隱藏自身,目錄下還有一個“檔案免疫”檔案、一個名為“檔案免疫.”的資料夾,防止使用者刪除此目錄。
2. 在每個盤下生成一個資料夾,資料夾下有一個“檔案免疫”檔案、一個名為“檔案免疫.”的資料夾,防止使用者刪除此目錄,還可以迷惑使用者,讓使用者以為這些目錄是某些軟體生成的免疫資料夾。
其中,D:下的資料夾下有,病毒檔案。
每個\檔案免疫.目錄下有一個名為AQ的檔案,這是病毒的配置資訊。
3. 修改userinit啟動項,追加病毒檔案的路徑。修改後的userinit鍵值為如下形式:
,c:\Recycled\
4. 在QQ目錄下釋放一個病毒檔案“ ”,檔案圖示與QQ的圖示相同,但沒有版本資訊和數字簽名。(正常的有版本資訊和數字簽名,可以通過數字簽名驗證。)
在桌面上建立了一個QQ的AllUser連結C:\Documents and Settings\All Users\桌面\騰訊,指向病毒釋放的偽裝QQ程式(C:\Program Files\Tencent\QQ\" ")。
監視QQ程式的啟動,當用戶啟動時,病毒會關閉程式,啟動" "病毒程式。病毒程式啟動後建立的介面與QQ2008介面十分相似,並且有QQ木馬掃描的選項和掃描進度條。
5. 通過偽造的登陸介面盜取使用者的QQ賬號,通過郵箱傳送給病毒作者。
