1. 运行"一生有你.exe"之后出现的图片
看得出来,这个就是利用了大家喜欢看网友照片或者某些图片的好奇心,把木马文件和图片捆绑起来运行的。
2. 运行"qq信使功能客户端生成器"出现的界面;
这个很显然是让用户刻意运行的--难道还有人会傻到自己运行木马么?没错,在网吧等公共环境中,存在这这样一类人,故意在所用的机器上启用qq密码盗取木马,然后立即下机,后来的上网者就都成了该木马的受害者--这样获取它人的qq以便谋利。我还是生成并运行了它。
这个大概是配合其他感染方式使用的吧,例如配合恶意web页面使用,利用ie漏洞自动下载并执行;
4.运行Trojan.PSW.QQPass之后的无任何界面
我想是同上类型的,值得一提的是该病毒是一个典型的delphi程序的图标,而且运行方式有点特别,后面我详细说说;
5.运行qqinfo.exe 之后无任何界面;
但查看了一下它文件夹中的选项,有供替换用的internat.exe文件,不知为何在我机器上它替换失败,哈哈。看了一下那个internat.exe文件的属性,其版本号是5.0,猜测是对应win2k和winxp的,我这里是win98,所以无法替换吧??
ok,该运行的病毒我全都运行起来了,现在看看到底这些病毒在我们系统中做了哪些手脚吧??
一般来说,qq病毒都是独立的程序,通过启动的时候自动加载,检查qq的登陆窗口句柄,通过控件id获得用户的id号和密码值。也就是说,木马的成功分为2个部分:1.硬盘上存在盗取密码的程序;2.该程序被成功执行。明白了这点后,我们就可以分2步来分析这些盗取号码的软件:
首先我们来看看这些病毒在硬盘上的位置,根据天缘的经验,木马程序最喜欢在系统盘的根目录下,在windows的目录下(包括system和system32目录)和qq所在的盘/目录里最有可能隐藏病毒文件,让我们去以上各个目录看看。
首先,进入c盘的根目录,使用资源浏览器将文件按修改时间排序,发现无故多了张名字为dream.jpg,大小为48k的图片,打开一开,正是名为"一生有你.exe"这个病毒执行后出现的那张图片,看来该qq病毒应该是利用了捆绑工具,将jpg文件和病毒文件捆绑到了一起,这类病毒专门针对喜欢看网友照片的朋友而设计的,哈哈。除了这文件外,没发现其他文件被改变。 ok,接下来到c:\windows 目录下来看看(天缘装的操作系统是win98,如果在2k中就该是winnt目录哦),同样将文件按照时间排序看看。
发现增加了一个名为qqinfo.exe文件,
增加了一个名为intren0t.exe的程序,
增加了一个名为intrenat.exe的程序
