捕獲時間
2008-12-17
病毒摘要
該樣本是使用“Delphi”編寫的QQ盜號木馬,由微點主動防御軟件自動捕獲,未加殼,長度為“56,230 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“網頁掛馬”、“文件捆綁”、“誘騙用戶點擊”等方式傳播,病毒主要目的為盜取聊天軟件“QQ”的帳號和密碼。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-PSW.Win32.QQPass.lwu”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,復制自身至“%CommonProgramFiles%\Microsoft Shared\MSINFO\”,重命名為“6hackol.com”與“sysinfo.exe”,修改注冊表,使“sysinfo.exe”隨系統啟動。相關注冊如下:
| |
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
值:Shell
數據:Explorer.exe \"C:\Program Files\Common Files\Microsoft Shared\MSINFO\sysinfo.exe\"
|
|
釋放動態庫文件“qqdsq2.lmz”至“%CommonProgramFiles%\Microsoft Shared\MSINFO\”,“qqdsq2.lmz”加載后將安裝全局消息鉤子,修改注冊表使進程“explorer.exe”以及由其啟動的進程啟動后自動加載“sysinfo.exe”,相關注冊表如下:
| |
鍵:“HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F9QQDSQ}\InProcServer32”
值:“@”
數據:“C:\Program Files\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz”
鍵:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks”
值:“{08315C1A-9BA9-4B7C-A432-26885F9QQDSQ}”
數據:“空” |
|
加載后的“qqdsq2.lmz”將遍歷進程查找“QQ.exe”,找到后將嘗試刪除“QQ.exe”所在目錄下的“npkcrypt.sys”,企圖破壞QQ自身密碼保護機制,第一次發現“QQ.exe”進程后,將于數秒后關閉QQ,企圖迫使用戶再次輸入登陸信息;當用戶再次登錄QQ時,通過監視QQ登陸窗口各控件,獲取其鍵盤消息,獲得用戶輸入的QQ號碼、密碼信息,使用戶虛擬財產受到損失。
