Trojan/Win32.QQPass.ytc[stealer]分析

一、 病毒标签：
病毒名称： Trojan/Win32.QQPass.ytc[stealer]
病毒类型： 盗号木马
文件 MD5： 2A05646D6CB82C299CAA2A8E98F71163
公开范围： 完全公开
危害等级： 3
文件长度： 1,277,952字节
感染系统： Windows 2000以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： UPolyX v0.5

二、 病毒描述：
该恶意程序为盗取QQ帐号的木马，运行后尝试结束QQ.exe进程，然后创建伪装的登录窗体来诱使用户登录，达到窃取用户的帐号信息的目的。病毒运行后会复制自身到C:\Program Files\Internet Explorer\目录下，重命名为ie.exe，并将此文件添加注册表启动项。病毒尝试关闭卡巴，江民，瑞星，McAfee，360等安全软件，同时禁用任务管理器。病毒窃取账户信息后以Email和URL方式上传到作者指定的地址中。

三、 行为分析：
本地行为:
1.病毒运行后会释放以下文件
C:\Program Files\Internet Explorer\ie.exe
C:\Program Files\Internet Explorer\le.exe
以上衍生文件路径为绝对路径

2.病毒运行后，添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
项：360saft
值："C:\Program Files\Internet Explorer\ie.exe"
3.病毒通过调用Process32First和Process32Next函数循环遍历进程，一旦发现taskmgr.exe进程，通过调用OpenProcess函数返回进程句柄再调用TerminateProcess函数结束进程。

4.病毒运行后遍历进程，查找QQ.exe进程并尝试结束，然后通过调用系统GDI32相关函数来创建伪装的QQ登录窗体来窃取用户账户信息。木马伪装的QQ登录窗体界面粗糙，功能不完整，最明显区别是密码输入框不是“●”而是空白。

5.病毒通过访问http://www.3***org/dyndns/getip地址获取本机IP地址，再通过访问http://www.i****.com/ips.asp?ip=s%来获取IP地址对应地理位置信息，之后与窃取的账户信息一起发送到指定地址中，其中s%代表获取到的IP地址。


网络行为:
协议：TCP/SMTP
端口：25
连接IP地址：112.90.138.**
收信邮箱：24717****@qq.com
描述：通过SMTP协议将窃取的QQ账户信息发送到指定的邮箱中。

协议：TCP/HTTP
端口：80
连接IP地址：49.247.252.***
URL：http://78****.com/mail.asp?QQNumber=s%&QQPassWord=?%---QQ扒手为你服务
描述：通过GET方法将窃取的QQ账户信息发送到URL地址中，其中s%为QQ帐号，?% 为QQ密码的MD5值。

注：
        %System32%是一个可变路径。
                                       病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　        %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　        %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　        %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　        %Documents and Settings% 　　　当前用户文档根目录
　        %Temp% 　　　　　　　　　　　　
                                 \Documents and Settings\当前用户\Local Settings\Temp
　　        %System32% 　　　　　　　　　　系统的 System32文件夹
　　        Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　        Wndows95/98/me中默认的安装路径是C:\Windows\System
　　        WindowsXP中默认的安装路径是C:\Windows\System32

四、 清除方案：
1.使用安天防线可彻底清除此病毒(推荐)。
  请到安天网站下载：http://www.antiy.com
2.手工清除请按照行为分析删除对应文件，恢复相关系统设置。
  推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。
1) 使用ATOOL管理工具，“进程管理”结束病毒的进程。
2) 强行删除病毒文件：
C:\Program Files\Internet Explorer\ie.exe
C:\Program Files\Internet Explorer\le.exe
3) 删除新增注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
项：360saft
值："C:\Program Files\Internet Explorer\ie.exe"