QQ小偷盗取帐号Q币 傀儡虫悄悄偷袭IE
“傀儡虫570880”(Win32.Troj.Unknown.570880),这是一个远程控制木马程序的被控端。它运行后会在后台注入IE运行,与远程控制端取得联系。如果它能从远程控制端获取命令,就会在本地执行许多威胁到用户隐私和系统安全的操作。
“QQ小偷155648”(Win32.PSWTroj.QQPass.kb.155648),该病毒是针对QQ即时聊天软件的盗号木马。它运行后,会生成病毒文件至系统目录下,修改注册表增加启动项。然后注入QQ的进程,窃取用户相关信息。
“傀儡虫570880”(Win32.Troj.Unknown.570880) 威胁级别:★★
病毒进入电脑系统后,在系统盘的%Program Files%/Internet Explorer/PLUGINS/目录下生成病毒文件WmiPvss.exe,并将该文件设置为隐藏模式,以躲避用户的检查。随后,它修改系统注册表,把自己的相关信息加入到启动项中,以便今后能随系统启动而自动运行。
虽然之前病毒已经将自己设置成了隐藏文件,但当用户发现系统不正常后,肯定会设法找出所有隐藏文件进行检查。为了以防万一,病毒在修改注册表时,会把自己伪装为系统自带的核心程序,这样就算被用户发现,也容易蒙混过关。它伪装的服务名称是“WmiPvss”,描述为“Windows依赖性服务Firewall Total程序提供安全检测”。
病毒顺利的运行起来后,就在后台启动IE浏览器的进程,并在其中运行自己的病毒代码,建立远程服务,连接到木马种植者(黑客)指定的转向地址“d**459*.3**2.org”。之后再转到黑客的远程控制端,获取最新的指令。由于是在后台启动,所以此时用户不会发现IE的窗口。
当从远程控制端获取命令后,病毒就会在本地执行对应的操作。只要黑客愿意,他可以通过此木马任意控制用户系统中的文件、注册表和各种服务操作,将用户电脑变为“傀儡”,给用户的个人隐私和系统安全造成严重威胁。
“QQ小偷155648”(Win32.PSWTroj.QQPass.kb.155648) 威胁级别:★
病毒进入用户的电脑系统后,在系统盘%Program Files%/Common Files/Microsoft Shared/MSINFO/目录下释放出3个病毒文件,分别是sysinfo.exe、6hackol.exe和6hackol.rar。接着,便建立名为_xr.bat的批处理文件来删除自己的原文件,这样做,是为了销毁证据,使用户不容易发现它。随后,病毒修改系统注册表,在启动项中加入自己的相关信息,以便以后能在用户每次开机时跟着系统自动运行起来,真是一劳永逸。
如果病毒成功的运行起来,它就会把自己注入到桌面进程Explorer.exe当中,不断搜索QQ的进程。一旦发现,立即注入其中,通过读取内存的方法窃得用户的账号信息,并查看用户Q币金额、QQ等级之类的相关信息。
要是顺利得手,病毒就在用户无法知晓的情况下建立远程连接,把这些资料全部发送到木马种植者安排好的邮箱中,给用户造成虚拟财产的损失和个人隐私的泄露,并且木马种植者还有可能会利用这些偷来的QQ号诈骗用户的好友。因此,如果发现QQ被盗,应立即通知好友,尽可能减小损失。
