该木马是使用"Delphi"写的盗号木马,采用"UPX"加壳方式,企图躲避特征码扫描,加壳后长度为“45,056 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为盗取用户虚拟财产,下载新病毒并执行。
用户中毒后,会出现关机时提示QQJDDEXE没有响应、系统运行缓慢、网络速度降低、虚拟财产无故被盗、出现大量未知进程等现象。
(1)病毒将自身重命名复制到%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll,设置该文件属性为隐藏。
(2)释放动态链接库%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys。
(3)查找名为"qqjddExe"的窗口,判断木马是否运行,若没找到,继续查找名为"qqjddDll"的窗口,判断木马Dll是否被卸载。如果都没找到,表示木马未运行,开始加载isignup.sys。
(4)通过修改注册表和安装钩子的方式,将病毒代码注入到目标进程中,监控用户键盘输入,盗取用户敏感和隐私信息,并且会尝试盗取大多数流行网络游戏的帐号密码。病毒会内建一个SMTP服务器,将盗取的资料发送到病毒作者指定的邮箱和网址,之后从指定网址下载新病毒到本地机器运行。
(5)在病毒主程序目录下创建批处理_xiaran.bat并执行,删除病毒自身。完成之后,删除_xiaran.bat。
病毒创建文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
X:\_xiaran.bat (X为病毒主程序所在盘符)
病毒删除文件:
X:\_xiaran.bat (X为病毒主程序所在盘符)
病毒创建注册表:
HKEY_CLASSES_ROOT\CLsID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\qqjdd
病毒访问网络:
http://www.***.org/vv.asp
http://www.***.org/vv.php
Liu***bin9@163.com (病毒作者邮箱)
手动解决办法:
1、手动删除以下文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
2、手动删除以下注册表值:
键:HKEY_CLASSES_ROOT\CLsID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
键:HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\qqjdd
相关视频
相关阅读 阿瑞斯病毒怎么去村庄阿瑞斯病毒老军人在在哪里 老军人位置分享阿瑞斯病毒山寨钥匙A怎么获得 山寨钥匙A获取方式一览阿瑞斯病毒研究所怎么快速过关 0肝快速通关技巧详解阿瑞斯病毒穴居狼蛛怎么打 穴居狼蛛打法教程分享阿瑞斯病毒白糖怎么得阿瑞斯病毒石头怎么得阿瑞斯病毒叛军营地怎么打
热门文章 没有查询到任何记录。
最新文章
火球病毒是什么意思 火360保险箱如何保护程序
安卓手机病毒Android.KungFu来袭 用户小心流lpk.dll是什么病毒_lpk.dll病毒专杀方法BMW病毒技术深入分析“图片大盗”通过聊天传播 专盗网游账号
人气排行 eset nod32序列号 nod32升级id 2009年8月28lpk.dll是什么病毒_lpk.dll病毒专杀方法最厉害病毒排行榜职业盗号的基本流程试图连接本机的IP端口,该操作被拒绝VBS病毒制造机v1.0 分析报告360保险箱如何保护程序和游戏账号中搜.桌面传媒Deskipn专杀彻底删除办法
查看所有2条评论>>