QQ病毒查杀实战图文详解 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → QQ病毒查杀实战图文详解

QQ病毒查杀实战图文详解 时间：2009/9/23 17:13:00来源：本站整理作者：不详我要评论(0)

QQ病毒查杀实战图文详解

原野编辑让我写则杀除qq病毒的稿件，为此他特地给我找来大约7个qq病毒，实在是非常感谢。为了贪图省事，我就一起在自己机器上运行了。首先让我们来看看这些病毒（工具）运行时候的画面，然后天缘将给大家介绍如何一步一步的查杀这些病毒。

1. 运行"一生有你.exe"之后出现的图片

看得出来，这个就是利用了大家喜欢看网友照片或者某些图片的好奇心，把木马文件和图片捆绑起来运行的。

2. 运行"qq信使功能客户端生成器"出现的界面；

这个很显然是让用户刻意运行的--难道还有人会傻到自己运行木马么？没错，在网吧等公共环境中，存在这这样一类人，故意在所用的机器上启用qq密码盗取木马，然后立即下机，后来的上网者就都成了该木马的受害者--这样获取它人的qq以便谋利。我还是生成并运行了它。

3．Trojan.PSW.QQpass.ak.a.exe 、Trojan.PSW.QQPass.ar.exe 以及另外3个病毒程序，我之后没有出现任何界面；

这个大概是配合其他感染方式使用的吧，例如配合恶意web页面使用，利用ie漏洞自动下载并执行；

4．运行Trojan.PSW.QQPass之后的无任何界面

我想是同上类型的，值得一提的是该病毒是一个典型的delphi程序的图标，而且运行方式有点特别，后面我详细说说；

5．运行qqinfo.exe 之后无任何界面；

但查看了一下它文件夹中的选项，有供替换用的internat.exe文件，不知为何在我机器上它替换失败，哈哈。看了一下那个internat.exe文件的属性，其版本号是5.0，猜测是对应win2k和winxp的，我这里是win98，所以无法替换吧？？

ok，该运行的病毒我全都运行起来了，现在看看到底这些病毒在我们系统中做了哪些手脚吧？？

一般来说，qq病毒都是独立的程序，通过启动的时候自动加载，检查qq的登陆窗口句柄，通过控件id获得用户的id号和密码值。也就是说，木马的成功分为2个部分：1.硬盘上存在盗取密码的程序；2.该程序被成功执行。明白了这点后，我们就可以分2步来分析这些盗取号码的软件：

首先我们来看看这些病毒在硬盘上的位置，根据天缘的经验，木马程序最喜欢在系统盘的根目录下，在windows的目录下（包括system和system32目录）和qq所在的盘/目录里最有可能隐藏病毒文件，让我们去以上各个目录看看。

首先，进入c盘的根目录，使用资源浏览器将文件按修改时间排序，发现无故多了张名字为dream.jpg，大小为48k的图片，打开一开，正是名为"一生有你.exe"这个病毒执行后出现的那张图片，看来该qq病毒应该是利用了捆绑工具，将jpg文件和病毒文件捆绑到了一起，这类病毒专门针对喜欢看网友照片的朋友而设计的，哈哈。除了这文件外，没发现其他文件被改变。 ok，接下来到c:\windows 目录下来看看（天缘装的操作系统是win98，如果在2k中就该是winnt目录哦），同样将文件按照时间排序看看。

发现增加了一个名为qqinfo.exe文件，

增加了一个名为intren0t.exe的程序，

增加了一个名为intrenat.exe的程序

同时user.dat和system.dat的最后访问时间也被修改了，熟悉注册表的朋友都知道，这2个文件正是注册表的真实文件，这就从侧面提示了提示我们，我运行的qq病毒软件修改了注册表。

接下来到system目录下去看看：

发现该目录下增加了一个名为explorer.exe的程序（这个程序跟资源管理器同名，不少的病毒/木马都喜欢取一些跟系统本身固有程序类似的名字来混辖视听，从下图可以看出，图标也是完全不同的）；

增加了一个名为：winms.exe的程序

增加了一个uhqq.dll的程序

系统盘就找到这么多，接着到其他盘去看看

来到d盘根目录，发现增加了一个autorun.inf文件。

是个文本文件，打开一看，原来是指向D:\Program Files\FNYP.EXE。autorun.inf本来的作用是访问该分区的时候自动执行某些任务，例如光驱自动读盘就是用它实现的，但现在很多病毒也喜欢玩这个。Ok，不用说了，这个也是病毒干的，至于是哪个病毒呢？我猜测是Trojan.PSW.QQPass这个，因为图标同样是delphi的程序图标。

文章评论

查看所有0条评论>>

热门文章 设置高强度密码技巧之