Board logo

标题: QQ盗号木马Trojan-PSW.Win32.QQPass.ljl [打印本页]
作者: pioneer     时间: 2008-9-11 14:42    标题: QQ盗号木马Trojan-PSW.Win32.QQPass.ljl

病毒名称

Trojan-PSW.Win32.QQPass.ljl

捕获时间

2008-09-11

病毒摘要

    该样本是使用“Delphi”编写的“盗号木马”,由微点主动防御软件自动捕获,采用“FSG”加壳方式试图躲避特征码扫描,加壳后长度为“38,528 字节”,图标为,使用“exe”扩展名,通过“可移动存储”、“下载器下载”等途径植入用户计算机,运行后伺机盗取“QQ”的“帐号”和“密码”。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马,网络传播

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


图1

  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-PSW.Win32.QQPass.ljl”,请直接选择删除(如图2)。


图2

    对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

[ Last edited by pioneer on 2008-9-18 at 15:53 ]
作者: pioneer     时间: 2008-9-11 14:45
病毒分析

该样本程序被执行后,修改系统时间为“2004”年,以此使依赖时间机制的病毒防御软件监控失效;在系统目录%SystemRoot%\system32下释放病毒拷贝“severe.exe”与“hsiwij.exe”、及其动态链接库文件“hsiwij.dll”,在目录%SystemRoot%\system32\drivers\下释放病毒拷贝“conime.exe”和“tekkdv.exe”;使用API函数ShellExecuteA分别执行上述释放的可执行文件;遍历系统当前进程查找“QQ.EXE”,找到后将其结束;修改如下注册表健值,使得文件“severe.exe”,“hsiwij.exe”以及“conime.exe”实现开机自启动。

  Quote:
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
健值:tekkdv
指向数据:C:\WINDOWS\system32\hsiwij.exe
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
健值:hsiwij
指向数据:C:\WINDOWS\system32\severe.exe
项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
健值:Shell
指向数据:Explorer.exe C:\WINDOWS\system32\drivers\conime.exe

动态库“hsiwij.dll”被装载运行后,通过API函数SetWindowsHookExA设置全局钩子试图将自身注入到所有进程中,查找QQ的登陆窗口,通过监视“鼠标”“键盘”消息来获取 “帐号”、“密码”,把所获信息通过“邮件”的方式发给盗号者。
病毒主程序运行后,还会执行以下动作,以更好的为盗号和病毒传播服务:
查找如下安全软件的服务
RsRavMon
KVSrvXP
RsCCenter
Kavsvc
KVWSC
使用net stop命令停止上述服务,调用命令“sc config 服务名 start= disabled”
禁用上述服务。
修改注册表映像劫持如下程序到病毒程序“tekkdv.exe”,使得部分安全软件无法启动:

  Quote:
360Safe.exe
adam.exe
avp.com
avp.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
msconfig.com
msconfig.exe
NOD32.exe
PFW.exe
QQDoctor.exe
TrojDie.kxp

修改如下注册表键值隐藏病毒体使其不被显示出来同时开启系统自动播放功能

  Quote:
项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值:CheckedValue: 0x00000000(原值为0x00000001)
项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
键值:NoDriveTypeAutoRun: 0x000000B5

修改hosts文件,屏蔽部分安全网站:

  Quote:
127.0.0.1       mmsk.cn
127.0.0.1       ikaka.com
127.0.0.1       safe.qq.com
127.0.0.1       360safe.com
127.0.0.1       www.mmsk.cn
127.0.0.1       www.ikaka.com
127.0.0.1       tool.ikaka.com
127.0.0.1       www.360safe.com
127.0.0.1       zs.kingsoft.com
127.0.0.1       forum.ikaka.com
127.0.0.1       up.rising.com.cn
127.0.0.1       scan.kingsoft.com
127.0.0.1       kvup.jiangmin.com
127.0.0.1       reg.rising.com.cn
127.0.0.1       update.rising.com.cn
127.0.0.1       update7.jiangmin.com
127.0.0.1       download.rising.com.cn

查找窗口名为如下字符的窗口,通过向其发送WM_QUIT以及模仿相应鼠标动作使其退出:

  Quote:
木马
瑞星
瑞星提示
KingsoftAntivirusScanProgram7Mutex
SKYNET_PERSONAL_FIREWALL
AntiTrojan3721

枚举盘符在除系统盘以外的其他盘中释放隐藏病毒副本OSO.exe和autorun.inf,靠自动播放功能来传播病毒。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn