當(dāng)前位置 : 首頁>軟件學(xué)院>即時(shí)通訊>QQ技巧>正文

最熟悉的陷阱偽裝QQ登錄木馬分析

http://m.yibo1263.com　2008/9/2 8:48:06 　來源:pchome 　編輯:葉子

先給大家看一張截圖，相信所有網(wǎng)民都非常熟悉。

　　

　　你有發(fā)現(xiàn)問題所在嗎？

　　接下來，給各位展示一個(gè)全景，哦，估計(jì)會(huì)有人看出些端倪。

　　

　　看到了吧，這是個(gè)木馬程序，運(yùn)行后和QQ登錄一模一樣，這個(gè)木馬會(huì)被釋放進(jìn)QQ的安裝路徑下，文件名為qq .exe（注意QQ后面多了一空格），病毒還會(huì)替換QQ的快捷方式，后果就一目了然了吧。下次開機(jī)，你會(huì)發(fā)現(xiàn)QQ啟動(dòng)了，你習(xí)慣性的輸入了QQ號(hào)和密碼，幾分鐘后，你的QQ就可能在另一個(gè)地方登錄，這個(gè)QQ就不再是你的了。

　　該病毒運(yùn)行后會(huì)偽裝成逼真的QQ登錄窗口，不小心輸入的QQ號(hào)和密碼會(huì)立即被盜。

　　該病毒的行為詳細(xì)描述如下：

　　1. 建立目錄c:＼Recycled，圖標(biāo)為回收站的圖標(biāo)(正常的回收站名為Recycler)。目錄下有Recycled.exe、Recycledbk.exe等病毒文件，這些文件都是系統(tǒng)隱藏屬性。為了隱藏自身，目錄下還有一個(gè)“文件免疫”文件、一個(gè)名為“文件免疫.”的文件夾，防止用戶刪除此目錄。

　　2. 在每個(gè)盤下生成一個(gè)autorun.inf文件夾，文件夾下有一個(gè)“文件免疫”文件、一個(gè)名為“文件免疫.”的文件夾，防止用戶刪除此目錄，還可以迷惑用戶，讓用戶以為這些目錄是某些軟件生成的免疫文件夾。

　　其中，D:下的autorun.inf文件夾下有rundll32.exe，spiderNt.exe病毒文件。

　　每個(gè)autorun.inf＼文件免疫.目錄下有一個(gè)名為AQ的文件，這是病毒的配置信息。

　　3. 修改userinit啟動(dòng)項(xiàng)，追加病毒文件的路徑。修改后的userinit鍵值為如下形式：

　　userinit.exe,c:＼Recycled＼Recycled.exe

　　4. 在QQ目錄下釋放一個(gè)病毒文件“QQ.exe ”，文件圖標(biāo)與QQ的圖標(biāo)相同，但沒有版本信息和數(shù)字簽名。（正常的QQ.exe有版本信息和數(shù)字簽名，可以通過數(shù)字簽名驗(yàn)證。）

　　在桌面上創(chuàng)建了一個(gè)QQ的AllUser鏈接C:＼Documents and Settings＼All Users＼桌面＼騰訊QQ.lnk，指向病毒釋放的偽裝QQ程序（C:＼Program Files＼Tencent＼QQ＼"QQ.exe "）。

　　監(jiān)視QQ程序的啟動(dòng)，當(dāng)用戶啟動(dòng)QQ.exe時(shí)，病毒會(huì)關(guān)閉QQ.exe程序，啟動(dòng)"QQ.exe "病毒程序。病毒程序啟動(dòng)后創(chuàng)建的界面與QQ2008界面十分相似，并且有QQ木馬掃描的選項(xiàng)和掃描進(jìn)度條。

　　5. 通過偽造的登陸界面盜取用戶的QQ賬號(hào)，通過郵箱發(fā)送給病毒作者。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费