» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » QQ盗号木马Trojan-PSW.Win32.QQPass.ljl   作者: 标题: QQ盗号木马Trojan-PSW.Win32.QQPass.ljl pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  QQ盗号木马Trojan-PSW.Win32.QQPass.ljl 病毒名称 Trojan-PSW.Win32.QQPass.ljl 捕获时间 2008-09-11 病毒摘要     该样本是使用“Delphi”编写的“盗号木马”，由微点主动防御软件自动捕获，采用“FSG”加壳方式试图躲避特征码扫描,加壳后长度为“38,528 字节”，图标为，使用“exe”扩展名，通过“可移动存储”、“下载器下载”等途径植入用户计算机，运行后伺机盗取“QQ”的“帐号”和“密码”。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页挂马，网络传播 安全提示 　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）； 图1 　 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.QQPass.ljl”，请直接选择删除（如图2）。 图2     对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。 [ Last edited by pioneer on 2008-9-18 at 15:53 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-9-11 14:42 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   病毒分析 该样本程序被执行后，修改系统时间为“2004”年，以此使依赖时间机制的病毒防御软件监控失效；在系统目录%SystemRoot%\system32下释放病毒拷贝“severe.exe”与“hsiwij.exe”、及其动态链接库文件“hsiwij.dll”，在目录%SystemRoot%\system32\drivers\下释放病毒拷贝“conime.exe”和“tekkdv.exe”；使用API函数ShellExecuteA分别执行上述释放的可执行文件；遍历系统当前进程查找“QQ.EXE”，找到后将其结束；修改如下注册表健值，使得文件“severe.exe”，“hsiwij.exe”以及“conime.exe”实现开机自启动。   Quote: 项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 健值：tekkdv 指向数据：C:\WINDOWS\system32\hsiwij.exe 项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 健值：hsiwij 指向数据：C:\WINDOWS\system32\severe.exe 项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 健值：Shell 指向数据：Explorer.exe C:\WINDOWS\system32\drivers\conime.exe 动态库“hsiwij.dll”被装载运行后，通过API函数SetWindowsHookExA设置全局钩子试图将自身注入到所有进程中，查找QQ的登陆窗口，通过监视“鼠标”“键盘”消息来获取 “帐号”、“密码”，把所获信息通过“邮件”的方式发给盗号者。 病毒主程序运行后，还会执行以下动作，以更好的为盗号和病毒传播服务： 查找如下安全软件的服务 RsRavMon KVSrvXP RsCCenter Kavsvc KVWSC 使用net stop命令停止上述服务，调用命令“sc config 服务名 start= disabled” 禁用上述服务。 修改注册表映像劫持如下程序到病毒程序“tekkdv.exe”，使得部分安全软件无法启动：   Quote: 360Safe.exe adam.exe avp.com avp.exe EGHOST.exe IceSword.exe iparmo.exe kabaload.exe KRegEx.exe KvDetect.exe KVMonXP.kxp KvXP.kxp MagicSet.exe mmsk.exe msconfig.com msconfig.exe NOD32.exe PFW.exe QQDoctor.exe TrojDie.kxp 修改如下注册表键值隐藏病毒体使其不被显示出来同时开启系统自动播放功能   Quote: 项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 键值：CheckedValue: 0x00000000（原值为0x00000001） 项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 键值：NoDriveTypeAutoRun: 0x000000B5 修改hosts文件，屏蔽部分安全网站：   Quote: 127.0.0.1       mmsk.cn 127.0.0.1       ikaka.com 127.0.0.1       safe.qq.com 127.0.0.1       360safe.com 127.0.0.1       www.mmsk.cn 127.0.0.1       www.ikaka.com 127.0.0.1       tool.ikaka.com 127.0.0.1       www.360safe.com 127.0.0.1       zs.kingsoft.com 127.0.0.1       forum.ikaka.com 127.0.0.1       up.rising.com.cn 127.0.0.1       scan.kingsoft.com 127.0.0.1       kvup.jiangmin.com 127.0.0.1       reg.rising.com.cn 127.0.0.1       update.rising.com.cn 127.0.0.1       update7.jiangmin.com 127.0.0.1       download.rising.com.cn 查找窗口名为如下字符的窗口，通过向其发送WM_QUIT以及模仿相应鼠标动作使其退出：   Quote: 木马 瑞星 瑞星提示 KingsoftAntivirusScanProgram7Mutex SKYNET_PERSONAL_FIREWALL AntiTrojan3721 枚举盘符在除系统盘以外的其他盘中释放隐藏病毒副本OSO.exe和autorun.inf，靠自动播放功能来传播病毒。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-9-11 14:45 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号