木马分析

    接下来我们来看看该木马的工作流程：

    木马在获得启动运行后，就会将复制一个备份到C:Program FilesInternet ExplorerPLUGINS，并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:Program FilesInternet ExplorerPLUGINS释放出qn911.sys(其实这是一个DLL文件)。

    这时候木马会在系统注册表内注册一个CLASSID

    HKCRCLSID

    并将该CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

=""

(老鸟这时候就会说了，原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)

Qn911.sys内含有钩子WH_GETMESSAGE。

    在木马下完钩子后，完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件，用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。