QQ木马

QQ木马

计算机病毒程序
QQ木马是针对QQ即时聊天工具的盗号木马。病毒运行后会修改注册表增加启动项,破坏QQ医生的运行。然后通过内存读取的方式盗取用户的QQ号和密码,并把密码发送到木马种植者的手上。[1]
  • 中文名:QQ木马
  • 外文名:Trojan.QQnether.445
  • 别名:
  • 类属:木马
  • 危害:盗取用户的QQ号和密码

盗号原理

本机安装木马窃听用户口令,这些木马大多借助于密码查看器探知密码,首先要知道它是从哪个应用程式偷。判断方法如下:

判断方法1

从运行程式的档案名判断,比如程式QQ2000b是QQ程式。

应对策略

这种木马比较笨,对付它很容易,只要将QQ的可执行档案换个名字,它们就会变成瞎子。

判断方法2

查看当前运行的应用程式的标题是否是特征文字,如“QQ用户登录”。这类木马的例子如OICQ密码监听记录工具4.01。

应对策略

修改QQ的登录窗口的标题栏,这样木马就不能识别你正在登录QQ了。

判断方法3

根据密码域判断。

有些软体的胃口很大,它不只想窃听你的QQ口令,它还关心其他的一些口令,将获取的账户和口令分门别类,供自己分析。这类软体的危害极大,但是当前的介绍中,除了杀木马之外,好像没有较好的解决办法。

键盘纪录

该木马会通过键盘自动纪录用户的密码,并发送到指定的电子邮箱。

判断方法

QQ登陆后不久异常下线,或自动关闭请求再次输入密码。

应对策略

打开密码输入框右侧的软键盘输入登陆密码。

行为分解

1、生成文件

%sys32dir%qqmm.vxd

2、生成CLSID组件

HKEY_CLASSES_ROOTCLSID

HKEY_CLASSES_ROOTCLSID@

HKEY_CLASSES_ROOTCLSIDInProcServer32

HKEY_CLASSES_ROOTCLSIDInProcServer32@C:WINDOWSsystem32qqmm.vxd

HKEY_CLASSES_ROOTCLSIDInProcServer32ThreadingModelApartment

3、修改注册表,增加启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

4、病毒运行后会删除病毒源文件自身。

5、病毒运行后会把vxd文件注入到进程当中。

6、病毒运行后会删除QQ医生的执行文件QQDoctorQQDoctor.exe

7、病毒运行后会登录http://f***h.ch****en.com/ip/ip.php网站来获得客户机器的IP地址。

8、病毒运行后会通过读取内存的方式截获客户QQ的账号,密码等相关资料。然后把获得的QQ的相关资料发送木马种植者的邮箱。

应对策略

QQ木马说到底就是可以窃取你机密的程序,它是捆绑的一种文件~可以窃取你QQ密码和聊天记录。平时不要随意接收QQ上传来的文件和QQ上其他人打开的网址。尤其是对方在网吧上网时,会自动传来个文件或网站,千万不要打开,除非对方是你熟悉的朋友先问一下是否是他发给你的。如果中了毒就用卡巴斯基杀进安全模式杀。在QQ硬盘里有QQ病毒专杀工具,下载后杀毒就行。

QQ病毒专杀工具

百度可以搜索到,这里提供两个链接,专杀工具QQ木马终极应对策略

通过eXeScope,可以对QQ进行彻底地改造,这样,就可以防止任何本地的木马:因为它们根本不可能知道你在运行QQ,也不知道你在输入密码,从而就不可能窃取到你的QQ密码。

找到QQ可执行档案的位置,将QQ目录拷贝到其他位置,并将其中QQ可执行文件换名,如改为“副件qq2000b.exe”。这样做的目的是为了防止木马使用第一种判断方法。

使用ExeScope打开QQ的可执行文件,找到要修改的项。

位置在[资源]→[对话框]→[对话框450],修改QQ登录的标题栏。修改密码域的属性。

这样做会导致密码以明文形式出现在输入框,可能会被别人偷看,不过为了防止木马偷看,你只能这样了。保存设置。运行“复件qq2000b.exe”看看吧。如果大家都采用这样的防护措施,离QQ木马的消失的日子就不远了。

木马预防

随着技术的发展,手机病毒也变得越来越强大。2012年6月初,一款名为“a.remote.obad”的安卓病毒被腾讯移动安全实验室截获,该病毒堪称安卓平台最高级木马病毒,具备防卸载、自动隐藏、防止反编译等特性,用户感染该病毒只能采取刷机手段解决,无法卸载。腾讯移动安全实验室推出“OBAD高级木马专杀”,配合腾讯手机管家使用可完美卸载该病毒。

据腾讯移动安全实验室介绍,安卓最高级病毒“a.remote.obad”具备防卸载、阻止反编译、云端控制等恶意行为。与此前截获的其他病毒不同,该病毒一旦被安装激活后,伪装成系统文件,诱导用户注册后利用系统漏洞隐藏自身图标,导致用户无法通过正常途径卸载。

此外,通过代码混淆和字符串加密让安全工程师无法得到完整的入口信息,提升反编译难度,从而达到保护自身的目的。病毒成功安装激活之后,自动获取Root权限,接收云端指令,发送定制业务短信,屏蔽运营商回执,从而实施恶意扣费。同时,还可能窃取用户手机上的隐私信息上传至指定服务器。

“此前,对于OBAD最高级木马病毒,各大安全厂商都只能检测到该病毒,无法做到完美卸载。只能提醒用户通过刷机解决问题。通过对病毒的深入分析,我们找到了完美卸载方法,推出OBAD高级木马专杀工具。”腾讯移动安全实验室工程师表示。

他还告诉记者,OBAD病毒利用系统漏洞达到攻击的目的,而不仅仅是伪装成其他APP进行恶意扣费,这让我们重新认识了手机病毒的巨大危害,同时也呼吁Android尽快完善漏洞修复机制。对于广大手机用户来说从正规电子市场下载手机App,不打开陌生信息中的链接、安装专业手机安全软件、定期进行病毒查杀,可以有效防范各类手机病毒入侵。

相关词条

相关搜索

其它词条