flyleaf 发表于 2009-1-9 11:01

Trojan/Win32.QQPass.ete[stealer]分析

一、病毒标签:
病毒名称: Trojan/Win32.QQPass.et
病毒类型: 木马
文件 MD5: 4C1944067AD732EAA289DDDF405F0AE6
公开范围: 完全公开
危害等级: 4
文件长度: 47,928 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 5.0 KOL/MCK
加壳类型: WinUpack 0.39 final -> By Dwing

二、病毒描述:

该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入钓鱼网站;骗取用户向指定银行账户汇款人民币1500元现金。

三、行为分析:

1、初始化窗口:
调用系统API函数LoadIconA加载图标,GetClientRect、GetWindowRect、SetWindowPos初始化窗口
|hWnd = 007E0414 ('QQ系统消息',class='obj_Form') ;窗口句柄
|InsertAfter = HWND_TOP      ;将窗口置于Z序的顶部
|X = 1B5 (437.)            ;以客户坐标指定窗口新位置的左边界
|Y = E2 (226.)               ;以客户坐标指定窗口新位置的顶边界
|Width = 16C (364.)          ;以像素指定窗口的新的宽度。
|Height = 188 (392.)         ;以像素指定窗口的新的高度
|\Flags = SWP_NOZORDER|SWP_NOACTIVATE   ;不激活窗口,并被设置到其他最高级窗口或非最高级组的顶部(根据参数hWndlnsertAfter设置)。维持Z序
2、置托盘:
调用SetWindowLongA鼠标控件程序,最小化为托盘

3、修改注册表,添加启动项:
搜索注册表获取SOFTWARE\Tencent\QQ,在系统启动项中添加qq启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\qq
键值: 字符串: 病毒运行完整路径
4、释放临时文件到系统目录下并修改host文件列表:
%HomeDrive%tmpqq10000.tmp
其内容经过解密后大致为:
h**p://www.qq.com.qkisc.cn、58.215.93.78 、szgz.gov.cn、h**p://www.szgz.gov.cn、qq.com、h**p://www.qq.com
Host文件列表被添加以下内容:
58.215.93.78 szgz.gov.cn
58.215.93.78www.szgz.gov.cn
58.215.93.78 qq.com
58.215.93.78www.qq.com
目的是在访问腾讯官方网站、深圳市公证处网站指向恶意网站h**p:// 58.215.93.78
5、反制防毒软件:
遍历系统进程,如发现以下进程,则关闭:
Run
IPE.EXE   
KRegEx.exe、
KVXP.KXP   
360tray.exe   
tray.EXE
qqDoc   
tor.xe   
drrtp
6、用户中毒后系统托盘图标假冒腾讯信息提示,如果双击提示会显示假冒的腾讯系统消息。

系统托盘中假冒的腾讯信息提示

点击假冒的腾讯信息提示后弹出的窗体
7、用户点击查看后,访问h**p://www.qq.com.qkisc.cn/会弹出提示中奖等信息






输入假冒的腾迅系统信息提示中的幸运码:“1688”

弹出提示中奖信息

中奖详细规则:幸运玩家必须交纳金额1500元,以保证玩家能领取到奖金和奖品。

欺骗用户输入个人敏感信息



8、用户访问深圳市公证处网站(h**p://www.szgz.gov.cn)和腾讯官方网站(h**p://www.qq.com)利用虚假证件,骗取用户汇款,

冒充深圳市公证处网站(h**p://www.szgz.gov.cn)

冒充互联网活动许可证

虚假公证员信息
9、经证实深圳市公证处网站(www.szgz.gov.cn)声明
                                    郑 重 声 明
我处从未对腾讯QQ抽奖、各类网络游戏抽奖、SKYPE、网易泡泡、雅虎通等各类抽奖活动进行过公证

注释:
%Windir%      WINDODWS所在目录
%DriveLetter%    逻辑驱动器根目录
%ProgramFiles%    系统程序默认安装目录
%HomeDrive%      当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp%      当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%   是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是C:\Windows\System;
WindowsXP中默认的安装路径是C:\Windows\System32。

四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),
ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
病毒进程:当前病毒名
(2) 强行删除病毒文件
删除病毒文件:当前运行目录下得病毒文件
将host文件中的以下内容删除:
58.215.93.78 szgz.gov.cn
58.215.93.78www.szgz.gov.cn
58.215.93.78 qq.com
58.215.93.78www.qq.com
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\qq
键值: 字符串: 病毒当前运行目录
页: [1]
查看完整版本: Trojan/Win32.QQPass.ete[stealer]分析