• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

一個最熟悉不過的陷阱 偽裝QQ登錄木馬分析

【賽迪網-IT技術報道】先給大家看一張截圖,相信所有網民都非常熟悉。

你有發現問題所在嗎?

接下來,給各位展示一個全景,哦,估計會有人看出些端倪。

看到了吧,這是個木馬程序,運行後和QQ登錄一模一樣,這個木馬會被釋放進QQ的安裝路徑下,文件名為qq .exe(注意QQ後面多了一空格),病毒還會替換QQ的快捷方式,後果就一目瞭然了吧。下次開機,你會發現QQ啟動了,你習慣性的輸入了QQ號和密碼, 幾分鐘後,你的QQ就可能在另一個地方登錄,這個QQ就不再是你的了。

該病毒運行後會偽裝成逼真的QQ登錄窗口,不小心輸入的QQ號和密碼會立即被盜。

該病毒的行為詳細描述如下:

1. 建立目錄c:/Recycled, 圖標為回收站的圖標(正常的回收站名為Recycler)。目錄下有Recycled.exe、Recycledbk.exe等病毒文件,這些文件都是系統隱藏屬性。為了隱藏自身,目錄下還有一個"文件免疫"文件、一個名為"文件免疫."的文件夾,防止用戶刪除此目錄。

2. 在每個盤下生成一個autorun.inf文件夾,文件夾下有一個"文件免疫"文件、一個名為"文件免疫."的文件夾,防止用戶刪除此目錄,還可以迷惑用戶,讓用戶以為這些目錄是某些軟體生成的免疫文件夾。

其中,D:下的autorun.inf文件夾下有rundll32.exe,spiderNt.exe病毒文件。

每個autorun.inf/文件免疫.目錄下有一個名為AQ的文件,這是病毒的配置信息。

3. 修改userinit啟動項,追加病毒文件的路徑。修改後的userinit鍵值為如下形式:

userinit.exe,c:/Recycled/Recycled.exe

4. 在QQ目錄下釋放一個病毒文件"QQ.exe ",文件圖標與QQ的圖標相同,但沒有版本信息和數字簽名。(正常的QQ.exe有版本信息和數字簽名,可以通過數字簽名驗證。)

在桌面上創建了一個QQ的AllUser鏈接C:/Documents and Settings/All Users/桌面/騰訊QQ.lnk,指向病毒釋放的偽裝QQ程序(C:/Program Files/Tencent/QQ/"QQ.exe ")。

監視QQ程序的啟動,當用戶啟動QQ.exe時,病毒會關閉QQ.exe程序,啟動"QQ.exe "病毒程序。病毒程序啟動後創建的界面與QQ2008界面十分相似,並且有QQ木馬掃瞄的選項和掃瞄進度條。

5. 通過偽造的登陸界面盜取用戶的QQ賬號,通過郵箱發送給病毒作者。

(

加入好友line@vga9721w
線上客服
@hd119