QQ木馬

1.生成文件:

%sys32dir%\qqmm.vxd

2.生成CLSID組件

HKEY_CLASSES_ROOT\CLSID\

HKEY_CLASSES_ROOT\CLSID\ @

HKEY_CLASSES_ROOT\CLSID\\InProcServer32

HKEY_CLASSES_ROOT\CLSID\\InProcServer32@ "C:\WINDOWS\system32\qqmm.vxd"

HKEY_CLASSES_ROOT\CLSID\\InProcServer32ThreadingModel "Apartment"

3.修改註冊表,增加啓動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

4.病毒運行後會刪除病毒源文件自身.

5.病毒運行後會把vxd文件注入到進程當中.

6.病毒運行後會刪除QQ醫生的執行文件QQDoctor\QQDoctor.exe

7.病毒運行後會登錄h ttp://f***h. ch****en.c om/ip/ip.php網站來獲得客户機器的IP地址.

8.病毒運行後會通過讀取內存的方式截獲客户QQ的賬號,密碼等相關資料.然後把獲得的QQ的相關資料發送木馬種植者的郵箱.

病毒名稱(中文):QQ偽裝盜號者16 38 40（無空格）病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:163 840影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為

該病毒是針對QQ即時聊天工具的盜號木馬。病毒運行後會釋放偽裝成系統桌面進程的病毒文件，修改註冊表增加啓動項，然後通過內存讀取的方式盜取密碼，並把密碼發送到木馬種植者的手上。

1.生成文件

%sys32dir%\explorer.exe

%sys32dir%\systemlr.dll

2.生成註冊表啓動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run explorer.exe "C:\WINDOWS\system32\explorer.exe"

3.病毒運行後會生成一個病毒文件名的常駐進程.

4.病毒還會把Dll文件注入到explorer.exe和其他的非系統進程當中.

5.病毒會把盜取的密碼發送到木馬種植者的郵箱中.

通過聊天工具傳播QQ盜號木馬885 76（無空格）

病毒名稱(中文):QQ盜號木馬885 76病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:885 76影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003

暴力破解

其實就是一個一個的去試。對付這種方法的途徑很簡單：使用比較複雜的密碼。

本機安裝木馬竊聽用户密碼

對於這類木馬軟件，除了清除，還有一個辦法——從原理上防止這些木馬得到QQ的登錄密碼。

這些木馬大多借助於密碼查看器探知密碼，首先要知道它是從哪個應用程式偷。判斷方法如下：

①：從運行程式的檔案名判斷，比如程序QQ2000b是QQ程序。

應對策略

這種木馬比較笨，對付它很容易，只要將QQ的主文件QQ.exe換個名字，它們就會變成瞎子。

②：查看當前運行的應用程式的標題是否是特徵文字，如“QQ用户登錄”。這類木馬的例子如OICQ密碼監聽記錄工具4.01。

應對策略

修改QQ的登錄窗口的標題欄，這樣木馬就不能識別你正在登錄QQ了。

判斷方法3：根據密碼域判斷。

有些軟件的胃口很大，它不只想竊聽你的QQ密碼，它還關心其他的一些密碼，將獲取的賬户和密碼分門別類，供自己分析。這類軟件的危害極大，但是當前的介紹中，除了殺木馬之外，好像沒有較好的解決辦法。

鍵盤記錄

該木馬會通過鍵盤自動記錄用户的密碼,併發送到指定的電子郵箱的路徑。

判斷方法：QQ登陸後不久異常下線，或自動關閉請求再次輸入密碼。

應對策略：打開密碼輸入框左側的軟鍵盤輸入登陸密碼。

QQ木馬説到底就是可以竊取你機密的程序，它是捆綁的一種文件～可以竊取你QQ密碼和聊天記錄．平時不要隨意接收 QQ上傳來的文件和QQ上其他人打開的網址．尤其是對方在網吧上網時，會自動傳來個文件或網站，千萬不要打開，除非對方是你熟悉的朋友先問一下是否是他發給你的．如果中了毒就用卡巴斯基殺進安全模式殺。在QQ硬盤裏有QQ病毒專殺工具，下載後殺毒就行。QQ病毒專殺工具

百度可以搜索到，這裏提供兩個鏈接，專殺工具QQ木馬終極應對策略

通過eXeScope，可以對QQ進行徹底地改造，這樣，就可以防止任何本地的木馬：因為它們根本不可能知道你在運行QQ，也不知道你在輸入密碼，從而就不可能竊取到你的QQ密碼。

找到QQ可執行檔案的位置，將QQ目錄拷貝到其他位置，並將其中QQ可執行文件換名，如改為“副件qq2000b.exe”。這樣做的目的是為了防止木馬使用第一種判斷方法。

使用ExeScope打開QQ的可執行文件，找到要修改的項。

位置在[資源]→[對話框]→[對話框450]，修改QQ登錄的標題欄。修改密碼域的屬性。

這樣做會導致密碼以明文形式出現在輸入框，可能會被別人偷看，不過為了防止木馬偷看，你只能這樣了。保存設置。運行“復件 qq2000b.exe”看看吧。如果大家都採用這樣的防護措施，離QQ木馬的消失的日子就不遠了。

泡泡網資訊頻道2012年7月1日隨着技術的發展，手機病毒也變得越來越強大。6月初，一款名為“a.remote.obad”的安卓病毒被騰訊移動安全實驗室截獲，該病毒堪稱安卓平台最高級木馬病毒，具備防卸載、自動隱藏、防止反編譯等特性，用户感染該病毒只能採取刷機手段解決，無法卸載。騰訊移動安全實驗室推出“OBAD高級木馬專殺”，配合騰訊手機管家使用可完美卸載該病毒 ^[1]  。

據騰訊移動安全實驗室介紹，安卓最高級病毒“a.remote.obad”具備防卸載、阻止反編譯、雲端控制等惡意行為。與此前截獲的其他病毒不同，該病毒一旦被安裝激活後，偽裝成系統文件，誘導用户註冊後利用系統漏洞隱藏自身圖標，導致用户無法通過正常途徑卸載。

此外，通過代碼混淆和字符串加密讓安全工程師無法得到完整的入口信息，提升反編譯難度，從而達到保護自身的目的。病毒成功安裝激活之後，自動獲取Root權限，接收雲端指令，發送定製業務短信，屏蔽運營商回執，從而實施惡意扣費。同時，還可能竊取用户手機上的隱私信息上傳至指定服務器。

“此前，對於OBAD最高級木馬病毒，各大安全廠商都只能檢測到該病毒，無法做到完美卸載。只能提醒用户通過刷機解決問題。通過對病毒的深入分析，我們找到了完美卸載方法，推出OBAD高級木馬專殺工具。”騰訊移動安全實驗室工程師表示。

他還告訴記者，OBAD病毒利用系統漏洞達到攻擊的目的，而不僅僅是偽裝成其他APP進行惡意扣費，這讓我們重新認識了手機病毒的巨大危害，同時也呼籲Android儘快完善漏洞修復機制。對於廣大手機用户來説從正規電子市場下載手機App，不打開陌生信息中的鏈接、安裝專業手機安全軟件、定期進行病毒查殺，可以有效防範各類手機病毒入侵。