本文分析了一种名为QQ冲击波的木马运作机制。该木马通过在系统目录下创建隐藏文件、注入DLL及修改注册表等方式实现自身隐藏与运行,并通过删除QQ键盘加密驱动程序来记录用户密码。
QQ冲击波木马分析。。
木马运行,首先会在系统目录建立文件。。
"E:/Program Files/Internet Explorer/PLUGINS/bow.sys
这个文件是hide的。。必需显示所有文件才能看得到。。
写入自身的dll到这里面。。还加上程序后面的配置信息。。
就是邮箱密码跟地址。。
写入注册表键值
80000000
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks"
{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}.
com组件服务:
0012FF20 80000000 |hKey = HKEY_CLASSES_ROOT
0012FF24
00404C28 |Subkey =
"CLSID/{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}"
最后LoadLibary来运行木马程序。。
再之后建立microsoft.bat 文件来删除自身。。里面内容为
:try
del "E:/Documents and Settings/Administrator/桌面/file/horse.exe"
if
exist "E:/Documents and Settings/Administrator/桌面/file/horse.exe"
goto try
del %0
最后结束进程序。。
木马dll在加载的时候。。会删除QQ键盘加密的驱动程序 npkcrypt.sys
再运行QQ原程序。。并设置好钩子。。以便记录你输入的密码。。
木马是注册的服务,所以你在自启动里面是看不到启动项的。。
Explorer/ShellExecuteHooks"加载的项
好了就写到这里吧!
ftts于 2006-4-27 21:02
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
