瑞星卡卡安全论坛

其实这个家伙我早就从网上听说了，就是某网友接收了一个图片，然后QQ被盗，qq好友被请求给盗号者汇钱！
我收到这个rar文件后，用avast和360安全卫士都没发现有问题，解压后有一个后缀为scr的屏保文件，再打开屏保文件的同时，木马植入了，强制关闭qq，把qq文件替换成盗号器，这时候如果马上打开qq输入密码就会向盗号者发东东了呵呵！其实分辨也很简单，感觉这个盗号器的窗口比真实的qq窗口略小，而且qq号码的账号信息不能删除了，郁闷的是360保险箱居然对此没有察觉呵呵！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SE 1.X; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; SE 1.X)

附件: 我的照片.rar

建议把病毒样本发给瑞星，地址为：http://mailcenter.rising.com.cn/FileCheck/
提交后，可自行查询处理进度。

下载你的样本，在影子系统中运行了一下。观察到的病毒动作如下：


此毒替换C:\Program Files\Tencent\QQ\Bin\QQ.exe（大小为828KB）






另在C:\Program Files\Tencent\QQ\Bin目录下释放qqdat.exe和UES.EDB两个病毒文件。


这些病毒文件在附件中（无密码）。

附件: Bin.rar