最新QQ盗号木马惊现 新浪邮箱成木马帮凶

来源:岁月联盟 编辑:zhu 时间:2007-11-29
最新QQ盗号木马惊现 新浪邮箱成木马帮凶内容简介:日前金山公司捕获了一种新型的QQ病毒,久违的QQ木马再次出现,这次除了可以盗取QQ号码,连同系统的文件都不放过,并且会将帐号信息发送到一个新浪邮箱中。 Q号感染者5373(Win32.InjPad.a.5373),这是一个感   日前金山公司捕获了一种新型的QQ病毒,久违的QQ木马再次出现,这次除了可以盗取QQ号码,连同系统的文件都不放过,并且会将帐号信息发送到一个新浪邮箱中。

    “Q号感染者5373”(Win32.InjPad.a.5373),这是一个感染型病毒。它会感染记事本程序,盗取用户QQ密码,并通过指定邮箱发送到盗号者处。在磁盘分区有J盘的电脑上,病毒可感染所有exe文件。
 
    “木马下载器65536”(Win32.TrojDownloader.Small.eg.65536),这是一个下载者程序,会从指定的网址上下载其它恶意软件保存到用户计算机上并运行。它还会创建注册表启动项,实现开机自动运行。
 
    一、“Q号感染者5373”(Win32.InjPad.a.5373)  威胁级别:★
   
    此病毒通过被感染的exe可执行文件传播。进入用户的电脑系统后,它会立即运行,检测系统当前运行的程序中是否有QQ聊天工具。若有,则通过键盘记录的方式记录用户输入的帐号和密码,并在用户不知晓的情况下建立邮件服务,把帐号和密码发送到病毒作者指定的新浪邮箱。
   
   干完偷QQ号的活后,病毒并不会停歇。它继续搜索系统盘,找到%windows%目录下的记事本文件notepad.exe,然后立即将其感染。用户如果查看该文件,可发现它占用的系统空间明显增大。此外,该病毒还针对磁盘分区较多的系统设计有全盘感染功能,如果用户系统中有盘符为“J”的磁盘,它就会从J盘开始感染所有的exe可执行文件。
   
   由于被感染的文件在功能上并不受影响,因此感染完成后,它们仍可继续运行,用户不会发现明显异常。如果查看文件属性,会发现受感染文件的体积都有所增大。

   二、“木马下载器65536”(Win32.TrojDownloader.Small.eg.65536)  威胁级别:★
 
   病毒成功运行后,在%windows%目录下释放出病毒文件sverror.exe,然后修改注册表启动项,将该文件的相关信息加入其中,使自己可以在以后每次用户启动系统时随之启动。
 
   随后,病毒创建iexplorer.exe系统进程,在用户不知晓的情况下,利用iexplorer.exe建立远程连接,从http://www.z***1.com这一木马作者指定的网址上下载大量的恶意程序,并且立刻运行。这时,用户如果查看系统盘的%program files%目录,就能发现多出了六个陌生的EXE可执行文件,文件名是以小写字母 m 加上1至6单位数字组成的,如 m1.exe。没错,它们就是病毒下载到电脑中的其它病毒文件。
 
   虽然此下载者本身不具备直接危害,但由于木马作者可以随时更换服务器上的文件,因此被下载的恶意程序也可能多变,会给用户造成无法估计的损失。