QQ病毒查杀实战

　　4．运行Trojan.PSW.QQPass之后的无任何界面
　　我想是同上类型的，值得一提的是该病毒是一个典型的delphi程序的图标，而且运行方式有点特别，后面我详细说说；

　　5．运行qqinfo.exe 之后无任何界面；
　　但查看了一下它文件夹中的选项，有供替换用的internat.exe文件，不知为何在我机器上它替换失败，哈哈。看了一下那个internat.exe文件的属性，其版本号是5.0，猜测是对应win2k和winxp的，我这里是win98，所以无法替换吧？？

　　ok，该运行的病毒我全都运行起来了，现在看看到底这些病毒在我们系统中做了哪些手脚吧？？

　　一般来说，qq病毒都是独立的程序，通过启动的时候自动加载，检查qq的登陆窗口句柄，通过控件id获得用户的id号和密码值。也就是说，木马的成功分为2个部分：1.硬盘上存在盗取密码的程序；2.该程序被成功执行。明白了这点后，我们就可以分2步来分析这些盗取号码的软件：

　　首先我们来看看这些病毒在硬盘上的位置，根据天缘的经验，木马程序最喜欢在系统盘的根目录下，在windows的目录下（包括system和system32目录）和qq所在的盘/目录里最有可能隐藏病毒文件，让我们去以上各个目录看看。

　　首先，进入c盘的根目录，使用资源浏览器将文件按修改时间排序，发现无故多了张名字为dream.jpg，大小为48k的图片，打开一开，正是名为"一生有你.exe"这个病毒执行后出现的那张图片，看来该qq病毒应该是利用了捆绑工具，将jpg文件和病毒文件捆绑到了一起，这类病毒专门针对喜欢看网友照片的朋友而设计的，哈哈。除了这文件外，没发现其他文件被改变。 ok，接下来到c:\windows 目录下来看看（天缘装的操作系统是win98，如果在2k中就该是winnt目录哦），同样将文件按照时间排序看看。

　　发现增加了一个名为qqinfo.exe文件，
　　增加了一个名为intren0t.exe的程序，
　　增加了一个名为intrenat.exe的程序

上一页  [1] [2] [3] [4] [5] [6]  下一页