01.14病毒预警：窃听木马监视用户盗窃敏感数据

lukeji3

01.14病毒预警：窃听木马监视用户盗窃敏感数据
“窃听木马184320”（Win32.Troj.Agent.184320），这是一个黑客木马。该木马会修注册表，添加自己的监视程序。系统启动时，它着随Exlporer.exe启动，然后利用监视程序拦截用户访问网络时输入的敏感数据。

　　“QQ盗号木马120312”（Win32.PSWTroj.QQShou.dt.120312），该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒通过读取内存盗取用户的账号信息，并连同被盗QQ号的QQ等级、Q币等信息一起发给木马种植者。

　　一、“窃听木马184320”（Win32.Troj.Agent.184320） 威胁级别：★★

　　病毒进入用户电脑系统后，在%WINDOWS%\\system32\\目录下释放出病毒文件ro.dll，然后修改注册表，将自己的相关数据写入其中，实现开机自启动之目的。

　　一旦成功地随系统运行起来，病毒就会展开全局监视程序，过滤用户上网时输入的敏感数据，比如看上去很像帐号、密码、机密资料等内容的数据。然后在用户无法知晓的情况下建立远程连接，将这些偷来的敏感数据发送给收集者。

　　病毒作者为了保证偷来的数据能传到自己的手中，设定了近20个的远程服务器地址，资深用户如果使用工具查看，会被长长的地址栏所震惊。

　　二、“QQ盗号木马120312”（Win32.PSWTroj.QQShou.dt.120312） 威胁级别：★

　　病毒进入系统后，在系统盘的%Program Files%\\Internet Explorer\\Connection Wizard\\目录下释放出病毒文件isignup.dll和isignup.sys ，然后修改注册表，把自己的相关信息写入启动项，实现随系统启动而运行起来之目的。

　　病毒运行后把之前生成的isignup.sys病毒文件注入到非系统进程当中，搜索QQ即时聊天软件的进程，发现后注入其中，通过读取内存盗取用户的账号信息。

　　如果顺利得手，病毒就悄悄建立远程连接，将用户QQ的Q币金额，等级相关的信息连同账号密码一并发送到木马种植者的邮箱中。

　　当运行完成后，病毒文件就生成一个 _xiaren.bat文件，删除自己的原始文件，使用户无法找到病毒源。