4.运行Trojan.PSW.QQPass之后的无任何界面
我想是同上类型的,值得一提的是该病毒是一个典型的delphi程序的图标,而且运行方式有点特别,后面我详细说说;
5.运行qqinfo.exe 之后无任何界面;
但查看了一下它文件夹中的选项,有供替换用的internat.exe文件,不知为何在我机器上它替换失败,哈哈。看了一下那个internat.exe文件的属性,其版本号是5.0,猜测是对应win2k和winxp的,我这里是win98,所以无法替换吧??
ok,该运行的病毒我全都运行起来了,现在看看到底这些病毒在我们系统中做了哪些手脚吧??
一般来说,qq病毒都是独立的程序,通过启动的时候自动加载,检查qq的登陆窗口句柄,通过控件id获得用户的id号和密码值。也就是说,木马的成功分为2个部分:1.硬盘上存在盗取密码的程序;2.该程序被成功执行。明白了这点后,我们就可以分2步来分析这些盗取号码的软件:
首先我们来看看这些病毒在硬盘上的位置,根据天缘的经验,木马程序最喜欢在系统盘的根目录下,在windows的目录下(包括system和system32目录)和qq所在的盘/目录里最有可能隐藏病毒文件,让我们去以上各个目录看看。
首先,进入c盘的根目录,使用资源浏览器将文件按修改时间排序,发现无故多了张名字为dream.jpg,大小为48k的图片,打开一开,正是名为"一生有你.exe"这个病毒执行后出现的那张图片,看来该qq病毒应该是利用了捆绑工具,将jpg文件和病毒文件捆绑到了一起,这类病毒专门针对喜欢看网友照片的朋友而设计的,哈哈。除了这文件外,没发现其他文件被改变。 ok,接下来到c:\windows 目录下来看看(天缘装的操作系统是win98,如果在2k中就该是winnt目录哦),同样将文件按照时间排序看看。
发现增加了一个名为qqinfo.exe文件,
增加了一个名为intren0t.exe的程序,
增加了一个名为intrenat.exe的程序
关注此文的读者还看过:
