皮皮网

1.Trojan-PSW.Win32.QQPass.khd简介
2.谁能帮我找到这个QQ号：593682766，源码最近都在什么地方登录？
3.hook不了QQ？
4.Trojan-PSW.Win32.QQShou.er病毒如何通过API HOOK截获QQ登录信息并发送到服务器？

Trojan-PSW.Win32.QQPass.khd简介

       病毒名称：Trojan-PSW.Win.QQPass.khd

       病毒类型：木马

       公开范围：完全公开

       危害等级：3

       文件长度：,源码字节

       感染系统：windows以上版本

       BitDefender [Trojan.ShellHook]

       行为分析：

       主程序创建并运行文件%Temp%photos.jpg(照片文件)。

       创建文件：C:Program FilesInternet ExplorerConnection Wizardxiaran.vxd（DLL动态联接库文件）。源码

       创建注册表，源码开机自启动文件xiaran.vxd，源码通过注册表项设置实现。源码resource 注解源码

       注入进程并执行恶意操作：

       注入explorer.exe进程中，源码使用API函数URLDownloadToFileA下载病毒到C:DOCUME~1BryceLOCALS~1Temp~Tm2.tmp.exe，源码然后运行该文件继续下载病毒到C:DOCUME~1BryceLOCALS~1Temp~Tm.tmp.exe，源码最终运行该文件。源码

       注入QQ.exe进程中，源码删除QQ目录下的源码趋势买卖 源码npkcrypt.sys文件，加载LoginCtrl.dll，源码破坏QQ的源码键盘加密锁，使用SetWindowsHookExA建立键盘钩子，源码**QQ帐号密码，并通过邮件发给盗号者。

       样本描述：使用VC编写的EXE程序，长度为,字节，图标为，病毒扩展名为exe。病毒主要用于**“QQ” 帐号密码。通过微点主动防御软件自动捕获，板卡驱动源码并采用Upack方式加壳。

扩展资料

       木马类病毒，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，关闭windows自动更新功能，尝试终止杀毒软件的启动和运行。该病毒可以**用户QICQ的账号与密码。

谁能帮我找到这个QQ号：，最近都在什么地方登录？

       这个不好整。tp呼死你源码

       你这样吧。

       你下载个能显示ip的QQ。（彩虹、珊瑚）

       知道他的ip后。

       你上www.ip.com就能查到他在那个城市区县。

       呵呵。这能这样了。

       望采纳。

hook不了QQ？

       兄弟你太天真了，随便弄个键盘钩子就能写个KeyLogger？！

       你以为腾讯的qq斗牛 源码程序员都是白痴啊

       QQ在密码框上确实做了特殊处理，不是常规的WH_KEYBOARD或WH_KEYBOARD_LL这种ring3钩子就能搞定的。即使截取下来了，也是乱码。

       要实现你想要的功能，可以在键盘驱动上做手脚，呵呵～

       我来说下思路：每个键盘里面有一块英特尔芯片，叫做"键盘编码器"，这块芯片负责处理键盘上所有按键的按下和松开状态，并转化为扫描码…… 该芯片提供两个I/O端口，即0x和0x。一般0x就是扫描码，0x是键盘状态字。众所周知，Windows系统不允许直接访问硬件端口，必须通过驱动程序来实现，可以用WinIO开发包。具体的实现过程很麻烦，鉴于你没给悬赏分，我就不多写了。（其实我只知道原理，具体实现起来，我也有点晕，汗～）

Trojan-PSW.Win.QQShou.er病毒如何通过API HOOK截获QQ登录信息并发送到服务器？

       Trojan-PSW.Win.QQShou.er病毒行为分析

       该病毒在入侵系统后，首先将病毒文件ravsuteibie.exe、winsyleabu.dll以及psapi.lib释放到%System%目录下，这里是病毒的默认存放位置，会根据操作系统自动调整，如Windows/NT在C:\Winnt\System，Windows//me在C:\Windows\System，WindowsXP在C:\Windows\System。

       为了实现开机自启动，病毒会添加注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Rapdetibe，键值内容指向C:\WINDOWS\system\ravsuteibie.exe，以便在启动时运行病毒。

       病毒还利用API HOOK技术，监控并截取QQ登录窗口，窃取用户的用户名和密码。然后，通过BITS服务将这些敏感信息发送到指定服务器，服务器地址包括：

       ...***，User-Agent: MSDN SurfBear，Host: *****.hezu.bjhost.cn，Server: Microsoft-IIS/6.0

       ...***，User-Agent: MSDN SurfBear，Host: www.****hua.net，Server: Apache/2.0. (Unix)

       清除方案

       为了彻底清除该病毒，推荐使用安天木马防线进行处理。具体步骤如下：

使用安天木马防线的进程管理功能，关闭病毒进程lserv.exe

       删除病毒释放的文件：%System%\ravsuteibie.exe、%System%\winsyleabu.dll、%System%\psapi.lib

       恢复被病毒修改的注册表项，删除添加的键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Rapdetibe，键值内容恢复为默认值。

       请注意，手动清除操作需谨慎，确保正确识别病毒文件，以防误删重要系统文件。