flyleaf 发表于 2010-9-6 11:02

Trojan/Win32.QQPass.fxc分析

一、病毒标签:
病毒名称: Trojan/Win32.QQPass.fxs
病毒类型: 木马
文件 MD5: 846AC7BD5F1E7D17D38561C2F08007C7
公开范围: 完全公开
危害等级: 4
文件长度: 413717字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 5.0

二、病毒描述:
    该病毒为QQ盗号木马,运行后病毒生成comres.dll到%System32%%\目录下,病毒扫描系统是否安装360杀毒、360安全卫士等360查杀软件,如果有,则修改其系统目录,使之不能正常运行,以达到降低系统安全性的目的。扫瞄系统进程,直至查找到QQ.exe,结束该进程并判断其版本。重启QQ.exe,并通过键盘记录的方式获得用户的账号和密码,通过网络方式上传到病毒作者指定的链接。
       
三、行为分析:
本地行为:

1、 文件运行后会释放以下文件
%WINdir%mssoft.bat
%HomeDrive%\360lihai.bat
%HomeDrive%\360xingle.bat
%System32%\comres.dll
%WINdir%\JoachimPeiper.dat

2、将系统的comres.dll命名为hexil.dll,然后衍生病毒DLL文件命名为comres.dll伪装成系统库文件,监视窗口如果发现含有windows 文件保护、qq安全中心的窗口则将其隐藏,试图结束TM.EXE、QQ.EXE进程,破坏360安全卫士软件等、关闭含有et desktop window、eset nod32 antivirus标题的窗口、试图将病毒DLL文件注入到所有进程中,窃取QQ账号密码以URL方式发送到作者指定的地址中

网络行为:
1、连接网络, 回传用户QQ账户和密码,数据回传格式:
get /postdata.asp?&qqnumber=%s&qqpassword=%s

五、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭病毒和iexplore.exe进程
(2) 强行删除病毒下载及衍生的文件
%WINdir%mssoft.bat
%HomeDrive%\360lihai.bat
%HomeDrive%\360xingle.bat
%System32%\comres.dll
%WINdir%\JoachimPeiper.dat
将System32目录下的hexil.dll改名为comres.dll文件
页: [1]
查看完整版本: Trojan/Win32.QQPass.fxc分析