flyleaf 发表于 2009-2-13 10:50

Trojan/Win32.QQPass.fww[stealer]分析

一、 病毒标签:
病毒名称: Trojan/Win32.QQPass.fww
病毒类型: 木马
文件 MD5: 6155E2A6124D464090A5995CC10BCC5E
公开范围: 完全公开
危害等级: 4
文件长度: 47,388 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0-7.0
加壳类型: WinUpack 0.39 final -> By Dwing

二、 病毒描述:
该病毒为QQ钓鱼恶意插件木马,病毒运行后动态创建假QQ系统消息窗口,遍历进程查找QQ.exe进程,查找QQ的托盘图标的句柄,打开explorer.exe的进程的系统托盘图标,添加注册表启动项,达到开机启动目的,衍生win.ini文件到%Windir%目录下,该文本用来存放加密的网站信息及当前更新版本信息,隐藏开启iexplore.exe进程连接网站记录统计信息,查找IE窗口标题,判断是否处理活动状态,如果则向该窗体发送关闭消息,动态运行假QQ系统消息托盘图标,遍历进程查找部分安全软件进程,找到进程后强行结束安全软件进程,并添加映像劫持、劫持多款安全软件进程,修改hosts文件、添加域名劫持,使用attrib将文件属性设置为系统文件、并设置为隐藏,该病毒运行后在桌面右下角出现闪动窗口,当用户点击后,显示腾讯消息提示用户中奖信息!当用户点击详情后连接一个网址要求用户输入中奖验证码验证、欺骗用户办理汇款手续领取现金从中谋利。

三、 行为分析:
本地行为:
1、病毒运行后动态创建假QQ系统消息窗口,遍历进程查找QQ.exe进程,查找QQ的托盘图标的句柄,打开explorer.exe的进程的系统托盘图标,查找IE窗口标题,判断是否处理活动状态,如果则向该窗体发送关闭消息

2、文件运行后会释放以下文件
%Windir%\win.ini

3、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\qq20009
值: 字符串: "病毒所在路径"
描述:添加注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options \被映像劫持的文件名称\debugger
360rpt.exe、360tqqdoctor.exe、rstray.exe、drrtp.exe

4、动态运行假QQ系统消息托盘图标,遍历进程查找部分安全软件进程,如发现avp.exe、RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、rstray.exe、qqdoctor.exe、drrtp.exe进程就调用ntsd命令强行关闭,修改hosts文件、添加域名劫持,使用attrib将文件属性设置为系统文件、并设置为隐藏,添加以下信息到本地hosts文件中:
127.0.0.1** img.tongji**.cn.yahoo.com
127.0.0.1** js.tongji**.cn.yahoo.com

5、该病毒运行后在桌面右下角出现闪动窗口
      
当用户点击后,显示腾讯消息提示用户中奖信息!
   
当用户点击详情后连接一个网址让用户输入中奖验证码:
   

网络行为:
协议:TCP
端口:80
连接地址:zzzz6655**.cn
GET/qq/install.asp?ver=090207&tgid=zzz&address=00-0C-29-8C-9D-B6®k=1&flag=8c82b4c143da5ff92f2d816ef5e8f7fa&frandom=1694
描述:连接地址记录安装信息

当用户点击详情后连接该网站要求用户输入中奖验证码验证
http://mmmmkkkss**.cn/777.htm


注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
   %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“结束以下病毒进程:
iexplore.exe、病毒名.exe
恢复本地hosts文件
(2) 强行删除病毒下载的大量病毒文件
%Windir%\win.ini
(3)删除病毒添加的注册表启动项及劫持的安全软件项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\qq20009
删除RUN键下的qq20009键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称
删除Image File Execution Options键下所有键值
页: [1]
查看完整版本: Trojan/Win32.QQPass.fww[stealer]分析