捕獲時間
2008-09-20
病毒摘要
該樣本是使用“Dephi”編寫的“QQ盜號程序”���,由微點(diǎn)主動防御軟件自動捕獲�����,采用“NsPacK”加殼方式試圖躲避特征碼掃描,加殼后長度為“41,608字節(jié)”���,圖標(biāo)為
使用“ exe”擴(kuò)展名����,通過“網(wǎng)頁木馬”��、“下載器下載”等多途徑植入用戶計算機(jī),運(yùn)行后伺機(jī)盜取QQ的“帳號”和“密碼”����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬�、文件捆綁
防范措施
已安裝使用微點(diǎn)主動防御軟件的用戶���,無須任何設(shè)置�,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本�����,微點(diǎn)主動防御都能夠有效清除該病毒���。如果您沒有將微點(diǎn)主動防御軟件升級到最新版���,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”�����,請直接選擇刪除處理(如圖1)����;
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本�����,微點(diǎn)將報警提示您發(fā)現(xiàn)"Trojan-PSW.Win32.QQPass.lnx”��,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點(diǎn)主動防御軟件的用戶�,微點(diǎn)反病毒專家建議:
1�����、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)�����。
2����、盡快將您的殺毒軟件特征庫升級到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問��,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持��。
3����、開啟windows自動更新��,及時打好漏洞補(bǔ)丁�。
病毒分析
該樣本程序被執(zhí)行后��,遍歷進(jìn)程查找“360tray.exe”�,“360safe.exe”���,“txplatform.exe”和“qq.exe”�,找到后將其結(jié)束;查找“AVP”的相關(guān)窗口����,并判斷%Program Files%目錄下是否存在“卡巴斯基”的安裝目錄����,如果存在設(shè)置系統(tǒng)時間試圖使其監(jiān)控失效�;在 %Program Files%Common Files\Microsoft Shared\MSInfo\目錄下釋“atmQQ2.dll”��,并修改其文件屬性為“系統(tǒng)”���、“隱藏”���;調(diào)用“SetWindowsHookExA”設(shè)置“WH_GETMESSAGE”類型的消息鉤子���,以監(jiān)視系統(tǒng)里“Explorer.exe”子進(jìn)程的各種消息�,查找QQ的窗口��,從而獲取QQ的密碼等信息����,并發(fā)送到“75***5968@qq.com”�;調(diào)用“UrlDownloadToFileA”函數(shù)下載“http://www.b***u.com/google.exe”,并重命名為“123.exe”保存到%TEMP%目錄;修改注冊表使得“Explorer.exe”及其子進(jìn)程啟動時自動加載動態(tài)庫“atmQQ2.dll”�����;刪除QQ醫(yī)生程序文件“QQDoctor.exe”�,后使用批處理執(zhí)行自刪除。
修改注冊表如下:
|
|
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
健值:{7FD45A54-9875-698F-E56E-65102358FDF7}
指向數(shù)據(jù):空
項:HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
健值:空
指向數(shù)據(jù):空
項:HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32
鍵值:空
指向數(shù)據(jù):C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll
項:HKEY_CLASSES_ROOT\ CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32
鍵值:ThreadingModel
指向數(shù)據(jù):Apartment |
|
