关于明小子QQ木马

    刚才自己下载了一个可以拦截目前QQ所有版本的QQ盗号木马生成器:明小子QQ木马， 因为现在的QQ防键盘记录已经是做得很不错了,以前传统的方法一般都失效了.所以比较好奇地尝试了一下.发现还真可以正常的拦截到密码.不过也很容易看出破绽:

    以下是正常的启动界面:

    你会明显地发现字体的不同和界面上一些功能键在鼠标放上去后会有不同的效果.并且我发现输入错误的密码后,木马就破功了:

    界面变回原来的QQ界面.并且医生被干掉了.也有报警.因为它是利用C:\WINDOWS\system32\SysYH.bak注入到很多进程里进行拦 截QQ的程序启动界面,然后替换成病毒的伪装界面,在输入以后再调用原来的QQ程序进行启动，假如粗心的用户可能就没有发觉.但是因为输入错误的密码,所 以又返回了正常的界面,这就露出了破绽,也是木马设计上的一个缺陷.不过用这个办法来饶过QQ的反键盘记录也是满聪明的.至少实现了截获现今所有QQ版本 的密码.

    并且这个程序可以被免费下载,有一定的危害.

    杀除这个病毒很简单.用一些暴力删除器把C:\WINDOWS\system32\SysYH.bak删除掉以后,再把关于C:\WINDOWS\system32\SysYH.bak的启动项目删除掉就好了.

    另外我发现在注入了C:\WINDOWS\system32\SysYH.bak的进程的内存里可以通过定位关键字"HTTP://"或者".ASP"等网址字符可以找到收信的空间地址.

    当然也可以定位"@"来找到收信的邮箱地址.关于邮箱密码定位我就不试了.而一般QQ密码记录文件是存在于与ASP文件同一目录下的QQ.TXT文件.

    作者比较有良心.没有留后门.

    扫描结果 ：

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果

a-squared	3.0.0.123	2007.09.02	2007-09-02	Trojan-PSW.Win32.QQPass.yq	4.572
Arcavir	1.0.4	200709020952	2007-09-02	Trojan.Psw.Qqpass.Yq	1.366
AVAST	1.0.8	000772-0	2007-09-03	Win32:Nilage-AI [Trj]	3.043
AVG	7.5.48.442	269.13.3/986	2007-09-03	Generic6.WAP	1.457
BitDefender	7.60825.825645	7.14606	2007-09-03	DeepScan:Generic.PWStealer.A5F5278C	2.987
CA (VET)	8.4.0.24	31.1.5105	2007-09-03	-	1.000
ClamAV	0.91.1	4136	2007-09-03	-	0.458
ewido	4.0.0.2	2007.09.02	2007-09-02	Trojan.QQPass.yq	3.437
F-SECURE	5.51.6100	2007.09.03.02	2007-09-03	Trojan-PSW.Win32.QQPass.yq	2.729
IKARUS	T3.1.1.12	2007.09.03.69438	2007-09-03	Trojan-PWS.Win32.Delf.mc	1.368
MKS_VIR	2.01	2007.09.03	2007-09-03	-	1.980
NOD32	2.70.8	2499	2007-09-03	probably a variant of Win32/Genetik trojan	0.113
nProtect	2007-09-03.00	40260	2007-09-03	Trojan-PWS/W32.QQPass.50273	9.087
QuickHeal	9.00	2007.09.01	2007-09-01	TrojanPSW.QQPass.yq	2.486
SOPHOS	2.49.1	4.21	2007-09-03	Mal/QQPass-B	2.476
VBA32	3.12.2.3	20070901.0836	2007-09-01	MalwareScope.Trojan-PSW.Game.7	0.772
VirusBuster	4.3.19:9	9.099.15/11.0	2007-09-02	-	1.282
冰岛杀毒	3.16.16	2007.09.02	2007-09-02	W32/Downloader.gen10	0.434
卡巴斯基	5.5.10	2007.09.03	2007-09-03	Trojan-PSW.Win32.QQPass.yq	0.096
大蜘蛛	4.33	2007.09.03	2007-09-03	Trojan.PWS.Qqpass.1271	4.840
小红伞	7.4.1.66	6.39.1.79	2007-09-03	TR/PSW.QQPass.YQ	2.285
江民杀毒	10.00.650	2007.09.02	2007-09-02	Trojan/PSW.QQPass.rem	0.891
熊猫卫士	9.04.03.0001	2007.09.02	2007-09-02	Suspicious file	3.717
瑞星	19.0	19.39.02.00	2007-09-03	Trojan.PSW.Win32.QQPass.tpt	2.316
诺曼	5.91.05	5.90	2007-09-02	W32/QQPass.EYV	2.781
赛门铁克	1.3.0.24	20070902.006	2007-09-02	-	0.276
趋势	8.500-1001	4.689.00	2007-09-03	Possible_Infostl	0.074
迈克菲	5.1.00	5110	2007-08-31	PWS-QQGame	0.807
金山毒霸	2007.6.20.249	2007.9.3	2007-09-03	Win32.PSWTroj.QQPass.yq.307315