捕獲時間
2008-10-28
病毒摘要
該樣本是使用“Delphi”編寫的“QQ盜號程序”,由微點主動防御軟件自動捕獲���,采用“Upack”加殼方式試圖躲避特征碼掃描��,加殼后長度為 26,376 字節��,圖標為
�����,病毒擴展名為“exe”,通過“網頁木馬”、“下載器下載”等途徑植入用戶計算機��,運行后伺機盜取“QQ”的“帳號”和“密碼”���。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�����、下載器下載、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞���。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”����,請直接選擇刪除處理(如圖1)�;
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發現"Trojan-PSW.Win32.QQPass.lqq”���,請直接選擇刪除(如圖2)���。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�����,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝�,避免病毒通過捆綁的方式進入您的系統����。
2��、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3�����、開啟windows自動更新�����,及時打好漏洞補丁��。
病毒分析
該樣本被執行后,刪除系統目錄“%SystemRoot%\system32”下的文件 “verclsid.exe”;釋放動態鏈接庫文件“qqmmck.vxd”���,并修改如下注冊表使進程“explorer.exe”以及由其啟動的進程自動加載此文件�����。
相關注冊表鍵值如下:
| |
項:HKEY_CLASSES_ROOT\CLSID\{92B2E816-2CEF-4345-8758-7699C7C9935F}\InProcServer32
指向數據:\%systemroot%\System32\qqmmck.vxd
項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
鍵值:{92B2E816-2CEF-4345-8758-7699C7C9935F}
指向數據為空 |
|
動態庫“qqmmck.vxd”被加載執行后,遍歷進程查找“QQ.exe”將其強行關閉���,迫使用戶再次輸入登陸信息;查詢QQ安裝路徑嘗試刪除QQDoctor文件夾下的QQDoctor.exe使QQ醫生失效���;當用戶再次登錄QQ時,病毒將使用自身攜帶的圖片資源替換QQ密碼輸入窗口���,偽造密碼輸入框,通過設置鼠標鍵盤鉤子來獲取用戶輸入的信息�����,將其保存在“%SystemRoot%\system32\QQNumber.ini”中����,在用戶點擊“登陸”按鈕的同時���,病毒將利用盜取的信息構造命令行登陸QQ����,使QQ正常登陸以此欺騙用戶。檢測聯網情況�����,若檢測通過則以空間收信方式將用戶QQ號碼及密碼上傳至:http ://www.hac**78.cn/wwwroot/qq.asp�。
