Trojan/Win32.QQPass.ufz[PSW]分析
病毒标签病毒名称: Trojan/Win32.QQPass.ufz
病毒类型: 盗号木马
文件 MD5: A96AE302E1BBED62AD0D2825C3E9C9EE
公开范围: 完全公开
危害等级: 4
文件长度: 61,845 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG
病毒描述
该恶意代码文件为QQ盗号木马,病毒运行后会释放一个psaip.dll文件到QQ目录下伪装成系统DLL文件,然后病毒通过修改QQ目录下的2个DLL文件达到劫持%SYSTEM32%目录下的psaip.dll,使QQ加载DLL的动态链接库文件时会加载病毒根目录下的psaip.dll(病毒文件),一旦病毒DLL被QQ加载之后,病毒会利用非法手段截取QQ账号密码发送到作者地址中,该木马可能只窃取QQ会员账号。
行为分析-本地行为
1、衍生以下文件到QQ目录
Tencent\QQ\Bin\psaip.dll
2、病毒运行后遍历进程查找QQ.EXE找到之后强行结束进程,尝试打开注册表HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_CLASSES_ROOT键下的\Software\Classes\.eip键(该键值是QQ表情后缀名文件关联),在QQ目录下衍生一个psaip.dll病毒DLL文件。
3、在QQ目录下衍生一个psaip.dll病毒DLL文件,拷贝QQ目录下的common.dll、BasicCtrlDll.dll到临时目录下分别命名为Q1.tmp、Q2.tmp,创建内存映射将代码映射到内存,如果映射失败则释放批处理直接删除自身,如果映射成功会定位到DLL输入表的位置遍历查找DLL名称psaip.dll所在的位置,找到所在的位置之后获取该DLL文件大小,修改Q1.tmp文件使其加载根目录下psaip.dll文件,修改完毕后覆盖复制到QQ目录下替换common.dll文件,修改Q2.tmp文件定位到DLL输入表的位置遍历查找DLL名称avicap32.dll所在的位置,找到后将DLL名称改成psaip.dll,使其加载根目录下psaip.dll文件avicap32.dll,修改完毕后复制到QQ目录下替换BasicCtrlDll.dll文件,以上操作只是达到劫持psaip.dll文件目的,使其调用QQ根目录下的psaip.dll文件。
4、psaip.dll病毒文件分析,因前面病毒已经对2个QQ动态链接库文件做了修改、首先该DLL文件先获取psapi.dll和avicap32.dll文件所需的API函数这样不会造成QQ崩溃,不然QQ因获取不到所需API函数而崩溃不能正常运行,试图连接网络请求数据,利用非法手段通用内存读写技术截取QQ账号密码获取QQ相关信息,发动到作者指定地址中。
行为分析-网络行为
试图连接请求数据:http://599wow.8***.org:88/1.dat
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
--------------------------------------------------------------------------------
清除方案
1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiy.com/cn/download/index.htm)。
(1)使用ATOOL管理工具,“进程管理”结束病毒QQ进程。
(2)强行删除病毒文件
Tencent\QQ\Bin\psaip.dll
可以再其它电脑的QQ目录里拷贝common.dll、BasicCtrlDll.dll替换感染的机器QQ目录下的common.dll、BasicCtrlDll.dll或者删除现有的QQ目录从新安装QQ软件
页:
[1]