“QQ彈窗(Trojan.Win32.QQFish.a)”病毒分析報告
2009-08-27 07:51:21摘要:此病毒由delphi語言編寫,upack0.39加殼保護。病毒運行后會關閉很多殺毒軟件和安全工具,并刪除其文件,以躲避查殺。連接病毒網址,下載配置信息解密后,記錄到臨時文件c:\tmpqq10000.tmp,根據配置信息啟動隱藏的IE點擊網頁。
此病毒由delphi語言編寫,upack0.39加殼保護。病毒運行后會關閉很多殺毒軟件和安全工具,并刪除其文件,以躲避查殺。連接病毒網址,下載配置信息解密后,記錄到臨時文件c:\tmpqq10000.tmp,根據配置信息啟動隱藏的IE點擊網頁。
通過建立如下注冊表項建立自動運行:Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\"隨機文件名"。
在系統Hosts文件中添加如下行,改變DNS解析,使真正的qq網址指向病毒網址,121.206.58.190"為病毒的網址。通過QQ程序的注冊表鍵值搜索QQ程序并啟動。注冊系統托盤程序,偽造假的QQ消息,當用戶點擊后,顯示偽造的QQ系統信息,顯示中獎信息并顯示網站www.qq58000.cn以實現其誘騙用戶的目的。
注意:中毒后,如果用戶想登陸QQ官方網站驗證此信息的真假,打開的同樣是該釣魚網站。
病毒發作截圖:
1、病毒發作后,在桌面右下角彈出的“小喇叭”圖標。
2、點擊“小喇叭”后,彈出與正常騰訊的系統信息一樣的界面。
3、彈出釣魚網站。按照“黑客”安排好的,一步步進行……
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
4、收到獲獎信息后,要求匯款。
[責任編輯:鄭國維]