病毒名称
Trojan-PSW.Win32.OnLineGames.kte
捕获时间
2007年9月17日
病毒症状
该木马是一个使用Delphi编写的病毒程序,长度为11,954 字节,图标为常规可执行文件图标,病毒扩展名为exe
病毒分析
该木马程序被激活后,在目录%systemroot%\system32下生成KAQHCZY.DLL和KAQHCAZ.EXE文件;添加注册表项,将KAQHCZY.DLL注入Explorer.exe进程;修改注册表强行穿透Windows内置防火墙;遍历窗口查找QQ华夏窗口将KAQHCZY.DLL进程注入到QQ华夏进程中,通过监控鼠标键盘操作和窗口消息试图窃取和用户帐号密码,通过网页收信空间发送给黑客;运行完毕后使用批处理文件将自身删除。
病毒注册表项:
项:HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
键值:{ 37D81718-1314-5200-2597-587901018073}
指向文件:kaqhczy.dll
项:HKCR\CLSID\{ 37D81718-1314-5200-2597-587901018073}\InprocServer32\
键值:默认
指向文件: kaqhczy.dll
HKLM\ SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
键值:EnableFireware
值:1
感染对象
Windows 2000/ Windows XP
传播途径
网页挂马 文件捆绑
Trojan-PSW.Win32.OnLineGames.kte
捕获时间
2007年9月17日
病毒症状
该木马是一个使用Delphi编写的病毒程序,长度为11,954 字节,图标为常规可执行文件图标,病毒扩展名为exe
病毒分析
该木马程序被激活后,在目录%systemroot%\system32下生成KAQHCZY.DLL和KAQHCAZ.EXE文件;添加注册表项,将KAQHCZY.DLL注入Explorer.exe进程;修改注册表强行穿透Windows内置防火墙;遍历窗口查找QQ华夏窗口将KAQHCZY.DLL进程注入到QQ华夏进程中,通过监控鼠标键盘操作和窗口消息试图窃取和用户帐号密码,通过网页收信空间发送给黑客;运行完毕后使用批处理文件将自身删除。
病毒注册表项:
项:HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
键值:{ 37D81718-1314-5200-2597-587901018073}
指向文件:kaqhczy.dll
项:HKCR\CLSID\{ 37D81718-1314-5200-2597-587901018073}\InprocServer32\
键值:默认
指向文件: kaqhczy.dll
HKLM\ SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
键值:EnableFireware
值:1
感染对象
Windows 2000/ Windows XP
传播途径
网页挂马 文件捆绑