» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 盗号木马 Trojan-PSW.Win32.QQPass.fbt   作者: 标题: 盗号木马 Trojan-PSW.Win32.QQPass.fbt pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  盗号木马 Trojan-PSW.Win32.QQPass.fbt 病毒名称 Trojan-PSW.Win32.QQPass.fbt 捕获时间 2007年9月17日 病毒症状   　　该病毒是一个使用Delphi编写的木马程序，长度为33,091字节，图标为兔子头像图标，病毒扩展名为exe。 病毒分析 　　该木马程序激活后，拷贝自身并重命名为SVOHOST.EXE到%SystemRoot%\system32目录下，在该目录下生成winscok.dll文件，修改两个文件属性为隐藏和系统；添加注册表启动项，使其能随系统一起启动；关闭窗口标题中含有如下字符的窗口(详见附表)或窗口类为Tkillqqvir或Tkqqviru的窗口；强行结束多种安全软件进程；删除多种杀毒软件和防火墙的自启动项，使其不能随系统启动；关闭系统还原功能；修改注册表强行开启Windows自动播放功能，在非系统逻辑驱动器和可移动存储介质中释放隐藏病毒文件sxs.exe以及autorun.inf，试图利用Windows自动播放功能激活病毒并进行传播；将winscok.dll文件注入到部分进程中，通过钩子获取QQ号和密码，窃取软键盘输入的帐号和密码，将盗取的帐号密码通过邮件发给黑客。 中毒现象 在非系统盘或移动介质中会生成图标为兔子头像的文件和autorun.inf文件，杀毒软件和防火墙不能正常开启。 关闭含有下列标题字符的窗口： QQKav 防火墙 网标 杀毒 木马 QQAV 噬菌体 dqhx 病毒添加的注册表项： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" 键值：SoundMam 指向文件：C:\windows\system32\SVOHOST.EXE 删除的注册表自启动项： RavTask KVMonXP KAVPersonal50 Ylive.exe NTdhcp yassistse winhoxt 关闭的进程： sc.exe net.exe sc1.exe net1.exe PFW.exe kav.exe KVOL.exe KVFW.exe TBMon.exe kav32.exe kvwsc.exe CCAPP.exe EGHOST.exe KRegEx.exe kavsvc.exe VPTray.exe RAVMON.exe KavPFW.exe SHSTAT.exe regedit.exe RavTask.exe TrojDie.kxp Iparmor.exe MAILMON.exe MCAGENT.exe KAVPLUS.exe RavMonD.exe Rtvscan.exe Nvsvc32.exe KVMonXP.exe Kvsrvxp.exe CCenter.exe KpopMon.exe RfwMain.exe KWATCHUI.exe MCUSESCN.exe MSKAGENT.exe kvolself.exe KVcenter.kxp kavstart.exe RAUTIMER.exe RRfwMain.exe FireTray.exe UpdateUI.exe KVSrvXp_1.exe RavService.exe 感染对象 Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003 传播途径 网页挂马/可移动存储 安全提示       已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍”，请直接选择删除处理（如图1）；                   图1       如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.QQPass.fbt”，请直接选择删除（如图2）。                   图2       使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会自动终止某些杀毒软件运行，如果您的杀毒软件已经无法运行，您也可以尝试安装微点解决。       没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-9-19 19:03 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号