Trojan/PSW.QQPass.wua“QQ大盗”变种wua

fuchou-angle

英文名称：Trojan/PSW.QQPass.wua
中文名称：“QQ大盗”变种wua
病毒长度：105984字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：ab1e072fd15fca226d2e1ba39df38efb
特征描述：
    Trojan/PSW.QQPass.wua“QQ大盗”变种wua是“QQ大盗”盗号木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“QQ大盗”变种wua运行后，会自我复制到被感染系统的“%SystemRoot%\Web\printers\images\”目录下，重新命名为“harce.exe”。同时，还会在该目录下释放经过加壳保护的恶意DLL组件“harce.dll”，文件属性设置为“系统、隐藏”。“QQ大盗”变种wua是一个盗取“雅虎奇摩”会员账号及“热血江湖 Online”网络游戏会员账号的木马程序，运行后会首先确认自身是否已经插入到桌面进程“explorer.exe”中。通过安装消息钩子等方式监视当前的系统状态，伺机进行恶意操作。定位“yahoobuddymain”窗口及插入“ybclient.exe”进程，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号、角色名等信息，并在后台将窃得的信息发送到骇客指定的收信页面“http://www.djyoud*.com/qimo.asp”、“http://www.harky*.com/image/point.asp”等上（地址加密存放），致使用户的账号丢失。另外，“QQ大盗”变种wua会修改注册表键“ShellExecuteHooks”的键值，以此实现盗号木马的开机自启。