Trojan-PSW.Win32.QQPass.boo分析

病毒标签：
病毒名称： Trojan-PSW.Win32.QQPass.boo
病毒类型： QQ盗号木马
文件 MD5： A4ABB57EA40E9B7E4553595D0EDB916B
公开范围： 完全公开
危害等级： 3
文件长度： 30,824 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0 [Overlay]
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

病毒描述：
　　该病毒为QQ盗号木马类，病毒运行后调用API获取系统文件夹路径，调用函数
CreateFileA向系统目录%program files%\internet explorer\plugins\写入病毒
文件；判断该目录是否存在Nv_Win3s.Jmp、NewSys55.Sys病毒文件，如存在则将其删
除并重新创建，修改注册表，添加HOOK项，将“NewSys55.Sys”注册为浏览器辅助对象
（BHO），实现开机自动运行。将NewSys55.Sys病毒文件注入到Explorer.exe进程中，
遍历窗口查找（tencent_qqtoolbar与Tencent_QQBar）QQ登陆窗口，一旦发现QQ登陆
窗口便记录键盘信息，窃取用户的QQ帐号及密码，通过URL发送到木马种植者指定的接收
网址。

行为分析：
本地行为：

1、文件运行后会释放以下文件:
　　　　%program files%\internet explorer
　　　　\plugins\NewSys55.Sys 　　　　　　　　44,648 字节
　　　　
　　　　%program files%\internet explorer
　　　　\plugins\Nv_Win3s.Jmp 　　　　　　　　30,824 字节

2、修改注册表添加HOOK启动项:

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes
　　　　\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
　　　　\InProcServer32]
　　　　新建键值: "@"
　　　　类型： REG_SZ
　　　　字串： “C:\Program Files\Internet Explorer
　　　　\PLUGINS\NewSys55.Sys”
　　　　描述: 创建病毒键值及病毒路径

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes
　　　　\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
　　　　\InProcServer32]
　　　　新建键值: "ThreadingModel"
　　　　类型： REG_SZ
　　　　字串： “Apartment”
　　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\Browser Helper Objects
　　　　\{D29DCEE0-457B-45A2-A92D-741B95B7723B}]
　　　　描述：将病毒键注册为浏览器辅助对象（BHO），
　　　　实现木马开机自动运行
　　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{D29 DCEE0-457B-45A2-A92D-741B95B7723B}]
　　　　字串： “”
　　　　描述：添加HOOK项

3、将NewSys55.Sy病毒文件插入Explorer.exe进程中。

4、遍历窗口查找（tencent_qqtoolbar）QQ登陆窗口，一旦发现QQ登陆窗口便记录
　 键盘信息，窃取用户的QQ用户名和密码。

5、通过URL发送到木马种植者指定的接收网址，木马接收地址：
　 http://ccc.52***.com/Qq9.asp

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

　　　　

--------------------------------------------------------------------------------
清除方案：
  1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
  2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用ATOOL“进程管理”关闭病毒进程：
　 　 　 结束Explorer.exe进程。
　 　 (2)强行删除病毒文件：
　 　 　 %program files%\internet explorer
　 　 　 \plugins\NewSys55.Sys
　 　 　 %program files%\internet explorer
　 　 　 \plugins\Nv_Win3s.Jmp
　 　 (3)删除病毒创建的注册表项：
　 　 　HKEY_LOCAL_MACHINE\SOFTWARE\Classes
　 　 　\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
　 　 　\InProcServer32]
　 　 　新建键值: "@"
　 　 　类型： REG_SZ
　 　 　字串： “C:\Program Files\Internet Explorer
　 　 　\PLUGINS\NewSys55.Sys”
　 　 　描述: 添加注册表项，以达到随机启动的目的
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes
　 　 　\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
　 　 　\InProcServer32]
　 　 　新建键值: "ThreadingModel"
　 　 　类型： REG_SZ
　 　 　字串： “Apartment”
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Explorer
　 　 　\Browser Helper Objects
　 　 　\{D29DCEE0-457B-45A2-A92D-741B95B7723B}]
　 　 　描述：将病毒键注册为浏览器辅助对象（BHO），
　 　 　实现木马开机自动运行
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Explorer
　 　 　\ShellExecuteHooks
　 　 　\{D29 DCEE0-457B-45A2-A92D-741B95B7723B}]
　 　 　字串： “”
　 　 　描述：添加HOOK项