巧巧妈妈在上海(qq木马专杀工具)
大家好,雨雨来为大家解答以上问题,巧巧妈妈在上海,qq木马专杀工具很多人还不知道,现在让我们一起来看看吧!
QQ木马是QQ即时聊天工具的盗号木马。病毒运行后会修改注册表添加启动项,破坏QQ医生的运行。然后通过内存读取的方式盗取用户的QQ号和密码,并将密码发送到木马种植者手中。
行为分析
1.生成文件:
%sys32dir%\qqmm.vxd
2.生成CLSID组件
HKEY _类_根\CLSID\
' HKEY _类_根\CLSID\ @ ' '
HKEY _类_根\CLSID\\InProcServer32
HKEY _ class _ ROOT \ CLSID \ \ inprocserver 32 @ ' c : \ WINDOWS \ system32 \ qqmm . vxd '
HKEY _类_根\CLSID\\InProcServer32线程模型'公寓'
3.修改注册表并添加启动项。
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Explorer \ shellexecute hooks
4.病毒运行后,会删除病毒源文件本身。
5.病毒运行后,会在进程中注入vxd文件。
6.病毒运行后会删除QQ医生的执行文件QQDoctor\QQDoctor.exe
7.病毒运行后会登录http ://f * * * h . ch * * * en.com/IP/ip.php网站获取客户端机器的IP地址。
8.病毒运行后,会通过读取内存的方式拦截客户的QQ账号、密码等相关信息。然后,它会将获取的QQ相关信息发送到木马种植者的邮箱。
典型病毒
伪装成黑客的QQ
病毒名称(中文):QQ伪装黑客16 38 40(无空格)病毒别名3360威胁级别3360病毒类型3360窃取密码木马病毒长度3360163 840影响系统3360 Win9X Winme Win NT Win 2000 Win XP Win 2003
病毒行为
该病毒针对QQ即时聊天工具的盗号木马。病毒运行后会释放伪装成系统桌面进程的病毒文件,修改注册表添加启动项,然后通过读取内存的方式窃取密码,并将密码发送给木马种植者。
1.生成文件
%sys32dir%\explorer.exe
%sys32dir%\systemlr.dll
2.生成注册表启动密钥。
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run explorer.exe ' c : \ Windows \ system32 \ explorer . exe '
3.病毒运行后,会生成一个带有病毒文件名的驻留进程。
4.该病毒还会将Dll文件注入explorer.exe和其他非系统进程。
5.该病毒会将窃取的密码发送到木马种植者的邮箱。
通过聊天工具传播QQ盗号木马885 76(无空格)
病毒名称(中文):QQ盗号木马885 76病毒别名3360威胁级别3360病毒类型3360窃取密码木马病毒长度3360885 76影响系统: Win9X Winme Win NT Win 2000 Win XP Win 2003
应付策略
归根结底,QQ木马是一个可以窃取你秘密的程序。是捆绑文件~可以窃取你的QQ密码和聊天记录。平时不要随意接收QQ上传的文件和别人在QQ上打开的网站。尤其是对方在网吧上网的时候,会自动来一个文件或者网站。除非对方是你熟悉的朋友,否则不要打开。先问问是不是他发给你的。如果中毒了,用卡巴斯基在安全模式下杀。QQ硬盘里有QQ病毒查杀工具,下载查杀就行了。
QQ病毒查杀工具
百度可以搜一下,这里有两个链接,查杀工具QQ木马的终极应对策略。
通过eXeScope,可以彻底改造QQ,让任何本地木马都防不胜防:因为他们不可能知道你在运行QQ,也不可能知道你在输入密码,所以也就不可能盗取你的QQ密码。
找到QQ可执行文件的位置,将QQ目录复制到另一个位置,更改QQ可执行文件的名称,如“复制qq2000b.exe”。这样做的目的是为了防止木马使用第一种判断方法。
用ExeScope打开QQ的可执行文件,找到要修改的项目。
在[资源][对话框][对话框450],修改QQ登录的标题栏。修改密码域的属性。
这样做会导致密码以纯文本的形式出现在输入框中,可能会被别人偷看,但是为了防止木马偷看,只能这样做了。保存设置。现在运行复制qq2000b.exe,看看。如果大家都采取这样的防护措施,那离QQ木马消失就不远了。
本文讲解到此结束,希望对大家有所帮助。
标签: