病毒名称:Backdoor.Win32.WinterLove.z(Kaspersky)
病毒别名:Trojan.PSW.Win32.QQPass.qmd(瑞星)
病毒大小:33,389 字节
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay](peid)
发现时间:2007.7
更新时间:2007.7.12
传播方式:通过恶意网页传播、其它木马下载
技术分析
盗Q木马,运行后将自身复制到:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
释放dll注入进程:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Sys
创建ShellExecuteHooks启动信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{40117B96-998D-4D80-8F89-5E9DBD9F3460}"=""
[HKEY_CLASSES_ROOT\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Sys"
在注册表中添加信息:
[HKEY_CURRENT_USER\Software\Tencent\Gm]
"First"