Trojan/Win32.QQPass.fxc分析

一、病毒标签：
病毒名称： Trojan/Win32.QQPass.fxs
病毒类型： 木马
文件 MD5： 846AC7BD5F1E7D17D38561C2F08007C7
公开范围： 完全公开
危害等级： 4
文件长度： 413717字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 5.0

二、病毒描述：
    该病毒为QQ盗号木马，运行后病毒生成comres.dll到%System32%%\目录下，病毒扫描系统是否安装360杀毒、360安全卫士等360查杀软件，如果有，则修改其系统目录，使之不能正常运行，以达到降低系统安全性的目的。扫瞄系统进程，直至查找到QQ.exe，结束该进程并判断其版本。重启QQ.exe,并通过键盘记录的方式获得用户的账号和密码，通过网络方式上传到病毒作者指定的链接。
       
三、行为分析：
本地行为:

1、 文件运行后会释放以下文件
%WINdir%mssoft.bat
%HomeDrive%\360lihai.bat
%HomeDrive%\360xingle.bat
%System32%\comres.dll
%WINdir%\JoachimPeiper.dat

2、将系统的comres.dll命名为hexil.dll，然后衍生病毒DLL文件命名为comres.dll伪装成系统库文件，监视窗口如果发现含有windows 文件保护、qq安全中心的窗口则将其隐藏，试图结束TM.EXE、QQ.EXE进程，破坏360安全卫士软件等、关闭含有et desktop window、eset nod32 antivirus标题的窗口、试图将病毒DLL文件注入到所有进程中，窃取QQ账号密码以URL方式发送到作者指定的地址中

网络行为:
1、连接网络, 回传用户QQ账户和密码,数据回传格式：
get /postdata.asp?&qqnumber=%s&qqpassword=%s

五、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1） 使用ATOOL“进程管理”关闭病毒和iexplore.exe进程
（2） 强行删除病毒下载及衍生的文件
%WINdir%mssoft.bat
%HomeDrive%\360lihai.bat
%HomeDrive%\360xingle.bat
%System32%\comres.dll
%WINdir%\JoachimPeiper.dat
将System32目录下的hexil.dll改名为comres.dll文件