Win32.Troj.Quack.c

病毒别名：

处理时间：2004-07-14

威胁级别：★★

中文名称：密码王

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

lcc编写,aspack压缩

传染条件:

伪装流行软件,诱使用户误运行

发作条件:

运行后,该木马来搜索用户缓存中的密码帐号等,并模拟一个假的登陆窗口来诱使用户上当.木马通过email来发送帐号密码给攻击者.

系统修改:

1,通过打开互斥体QueenKarton_12来防止多重运行

2,拷贝自身到

%System%<八个随机字符>.exe

3,生成%System%<八个随机字符>.dll

4,生成%Temp%<八个随机字符>.htm

5,向注册表添加:

HKEY_CLASSES_ROOTCLSIDInProcServer32

"(Default)" = "<八个随机字符>.dll"

"ThreadingModel" = "Apartment"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

"Web Event Logger" = ""

HKEY_CURRENT_USERSoftwareMicrosoft

"QueenKarton" = "C"

6,修改注册表键值:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones1

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones2

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones3

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones4

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones5

"1601" = "0"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings

"GlobalUserOffline" = "0"

7,在%System%生成下列文件:

dnkkq.dll

kkq32.vxd

kkq32.dll

Rtdx1<数字>.dat

发作现象:

误运行后,用户会在%System%发现下列文件:

dnkkq.dll

kkq32.vxd

kkq32.dll

并且病毒会弹出一个模拟银行登陆的窗口来诱使用户输入密码.

特别说明: