找回密码
 注册创意安天

Trojan/Win32.QQPass.ytc[stealer]分析

[复制链接]
发表于 2011-8-19 15:16 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Trojan/Win32.QQPass.ytc[stealer]
病毒类型: 盗号木马
文件 MD5: 2A05646D6CB82C299CAA2A8E98F71163
公开范围: 完全公开
危害等级: 3
文件长度: 1,277,952字节
感染系统: Windows 2000以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPolyX v0.5

二、 病毒描述:
该恶意程序为盗取QQ帐号的木马,运行后尝试结束QQ.exe进程,然后创建伪装的登录窗体来诱使用户登录,达到窃取用户的帐号信息的目的。病毒运行后会复制自身到C:\Program Files\Internet Explorer\目录下,重命名为ie.exe,并将此文件添加注册表启动项。病毒尝试关闭卡巴,江民,瑞星,McAfee,360等安全软件,同时禁用任务管理器。病毒窃取账户信息后以Email和URL方式上传到作者指定的地址中。

三、 行为分析:
本地行为:
1.病毒运行后会释放以下文件
C:\Program Files\Internet Explorer\ie.exe
C:\Program Files\Internet Explorer\le.exe
以上衍生文件路径为绝对路径

2.病毒运行后,添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
项:360saft
值:"C:\Program Files\Internet Explorer\ie.exe"
3.病毒通过调用Process32First和Process32Next函数循环遍历进程,一旦发现taskmgr.exe进程,通过调用OpenProcess函数返回进程句柄再调用TerminateProcess函数结束进程。

4.病毒运行后遍历进程,查找QQ.exe进程并尝试结束,然后通过调用系统GDI32相关函数来创建伪装的QQ登录窗体来窃取用户账户信息。木马伪装的QQ登录窗体界面粗糙,功能不完整,最明显区别是密码输入框不是“●”而是空白。

5.病毒通过访问http://www.3***org/dyndns/getip地址获取本机IP地址,再通过访问http://www.i****.com/ips.asp?ip=s%来获取IP地址对应地理位置信息,之后与窃取的账户信息一起发送到指定地址中,其中s%代表获取到的IP地址。


网络行为:
协议:TCP/SMTP
端口:25
连接IP地址:112.90.138.**
收信邮箱:24717****@qq.com
描述:通过SMTP协议将窃取的QQ账户信息发送到指定的邮箱中。

协议:TCP/HTTP
端口:80
连接IP地址:49.247.252.***
URL:http://78****.com/mail.asp?QQNumber=s%&QQPassWord=?%---QQ扒手为你服务
描述:通过GET方法将窃取的QQ账户信息发送到URL地址中,其中s%为QQ帐号,?% 为QQ密码的MD5值。

注:
        %System32%是一个可变路径。
                                       病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%             WINDODWS所在目录
          %DriveLetter%          逻辑驱动器根目录
          %ProgramFiles%          系统程序默认安装目录
          %HomeDrive%           当前启动的系统的所在分区
          %Documents and Settings%    当前用户文档根目录
         %Temp%             
                                 \Documents and Settings\当前用户\Local Settings\Temp
          %System32%           系统的 System32文件夹
          Windows2000/NT中默认的安装路径是C:\Winnt\System32
          Wndows95/98/me中默认的安装路径是C:\Windows\System
          WindowsXP中默认的安装路径是C:\Windows\System32

四、 清除方案:
1.使用安天防线可彻底清除此病毒(推荐)。
  请到安天网站下载:http://www.antiy.com
2.手工清除请按照行为分析删除对应文件,恢复相关系统设置。
  推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)。
1) 使用ATOOL管理工具,“进程管理”结束病毒的进程。
2) 强行删除病毒文件:
C:\Program Files\Internet Explorer\ie.exe
C:\Program Files\Internet Explorer\le.exe
3) 删除新增注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
项:360saft
值:"C:\Program Files\Internet Explorer\ie.exe"
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 10:11

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表