2010年4月12日【QQ盗号木马试图将病毒注入到所有进程】
以下是2010年4月12日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.======================================================================================================
安天实验室每日病毒预警
一、“代理木马”(Trojan/Win32.Agent.dhep)威胁级别:★★★★
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。 修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
二、“QQ盗号木马”(Trojan/Win32.QQPass.shf)威胁级别:★★★★
该恶意代码文件为QQ盗号木马,病毒运行后查找类名为“g”,标题为“2”的窗口,删除%Documents and Settings%\当前用户\Application Data\目录下的Dg32.bak文件,并衍生Dg32.bak、Dbg.Sys、Dbg.New病毒文件到该目录下,病毒创建一个X=0,Y=0,类名为:Edit,标题为:DT4TRTDTT的隐藏窗口,动态加载病毒衍生的Dbg.Sys文件,获取并调用该病毒文件的"InitDll"、"FreeDll"模块,"InitDll"模块设置成HOOK全局钩子,以便截取QQ账号密码,添加注册表项,试图将病毒文件注入到所有进程中,Dbg.Sys病毒文件判断自身是否被注入在Qq.exe、Explorer.exe、VerclsId.exe、iexplore.exe,如不是则退出,如是则将自身拷贝一份命名为Dg32.Tmp。病毒DLL被加载之后创建2个线程,反制QQ安全中心,释放病毒驱动文件到%System32%\drivers\目录下,命名为dHook.sys,查找类名为"TXGuiFoundation",标题为"放弃清除提示"、qq安全中心的窗口,找到后发送WM_KEYDOWN按键点击消息,被感染的用户会被病毒作者窃取QQ账号密码并以URL方式发送到作者指定的地址中。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
======================================================================================================
中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页:
[1]