QQ冲击波木马分析。。

QQ冲击波木马分析。。
木马运行,首先会在系统目录建立文件。。
"E:/Program Files/Internet Explorer/PLUGINS/bow.sys
这个文件是hide的。。必需显示所有文件才能看得到。。
写入自身的dll到这里面。。还加上程序后面的配置信息。。
就是邮箱密码跟地址。。

写入注册表键值
80000000
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks"

{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}.


com组件服务:
0012FF20        80000000              |hKey = HKEY_CLASSES_ROOT
0012FF24

       00404C28              |Subkey =

"CLSID/{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}"


最后LoadLibary来运行木马程序。。


再之后建立microsoft.bat 文件来删除自身。。里面内容为
:try
del "E:/Documents and Settings/Administrator/桌面/file/horse.exe"
if

exist "E:/Documents and Settings/Administrator/桌面/file/horse.exe"

goto try
del %0
最后结束进程序。。

木马dll在加载的时候。。会删除QQ键盘加密的驱动程序 npkcrypt.sys
再运行QQ原程序。。并设置好钩子。。以便记录你输入的密码。。
木马是注册的服务,所以你在自启动里面是看不到启动项的。。
Explorer/ShellExecuteHooks"加载的项
好了就写到这里吧!
ftts于 2006-4-27 21:02

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页