Troj.PSWQQDragon.r

病毒别名：

处理时间：2003-10-28

威胁级别：★★

中文名称：QQ狂盗王

病毒类型：木马

影响系统：Win9x/Win2000/WinXP/Win2003

病毒行为:

编写工具：

病毒彩用VB编写

传染条件:

被动安装。被安装的系统会被盗取QQ密码

发作条件:

当QQ运行登录时，病毒会能通过诱骗和键盘拦截来盗取QQ密码。

系统修改:

复制病毒复本

C:WinntsystemCOMMAND.EXE

C:Winntsystemsystem.dll (键盘拦截程序）

%Windir%winhe1p.exe

%Windir%system.dll

%Windir%abins.exe

C:Program Fileswindows.exe

C:Program Filessystem.dll

病毒在每个复本的目录同样释放VB6的运行库文件：

mswinsck.ocx

Msvbvm60.dll

对于Win9x系统修改WIN.ini文件

[windows]

Run = %Windir%abins.exe

修改注册表自我启动：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"winhelp" = "%windir%winhe1p.exe"

"Rundll32" = "c:Program Fileswindows.exe"

"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"

"ScanReg" = 病毒第一次运行的位置

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

"winhelp" = "%windir%winhe1p.exe"

"Rundll32" = "c:Program Fileswindows.exe"

"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"

"ScanReg" = 病毒第一次运行的位置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

"winhelp" = "%windir%winhe1p.exe"

"Rundll32" = "c:Program Fileswindows.exe"

"COMMAND" = "C:WINNTSYSTEMCOMMAND.exe"

"ScanReg" = 病毒第一次运行的位置

发作现象:

模拟QQ登录界面，来欺骗用户（如图QQ1.jpg)

特别说明:

病毒加载时会释几个可执行文件（个数随机，文件名以PKG开头的可执行程序）到系统的临时文件夹%temp%、Windows安装目录%Windir%、系统目录%system%下，用来互相监视进程，保证病毒的生存期。病毒激活时会自动关闭WINDOWS的系统程序，如：资源管理器、注册表编辑器。