QQ鬼手
Trojan-PSW.Win32.Delf.jal
捕獲時(shí)間
2011-01-30
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC ”編寫的“游戲盜號(hào)”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲, 采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長(zhǎng)度為“37,003”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是盜取QQ 游戲的用戶密碼及帳號(hào)信息。
當(dāng)用戶計(jì)算機(jī)感染此木馬病毒后,用戶的賬戶信息丟失,并且發(fā)現(xiàn)大量未知進(jìn)程等現(xiàn)象.
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“可疑程序”,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-PSW.Win32.Delf.jal”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
手動(dòng)刪除文件
1. 手動(dòng)刪除%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\MrSoft.bak文件
2. 手動(dòng)刪除%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\MrSoft.sys文件
3. 刪除源病毒樣本
4. 刪除注冊(cè)資源管理器插件CLSID:
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
名稱:默認(rèn)
數(shù)據(jù):C:\Program Files\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
5. 刪除注冊(cè)表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
鍵值:{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.病毒首先對(duì)自身進(jìn)行讀取信息,通過字符串的解密算法解密出訪問的網(wǎng)絡(luò)已經(jīng)黑客的收信地址空間。
2.病毒判斷是否收信成功,如果成功,病毒直接退出程序。如果不成功,病毒進(jìn)行操作。
3.病毒讀取文件信息,獲得病毒的版本號(hào)。如果正確獲取到,病毒獲取該自身的存放路徑,將自己重新命名為:"wininit.ini",進(jìn)一步偽裝成用戶電腦的配置文件。
4.如果沒有正確獲取到,病毒通過將自身移動(dòng)并重新命名文件為NULL。
5.病毒獲取C:\Program Files\Common Files\Microsoft Shared\MSInfo目錄下的路徑,如果該目錄下存在MrSoft.bak文件,先把該文件刪除之。如果沒有在該目錄下創(chuàng)建C:\Program Files\Common Files\Microsoft Shared\MSInfo\MrSoft.bak文件,并對(duì)該文件設(shè)置系統(tǒng)隱藏屬性并進(jìn)行加之。病毒以“MsgHookOn”和“MsgHookOff”為參數(shù),建立鍵盤和鼠標(biāo)消息鉤子,監(jiān)控用戶信息,并卸載消息鉤子。
6.如果該目錄下存在MrSoft.sys文件,先把該文件刪除之。如果沒有在該目錄下C:\Program Files\Common Files\Microsoft Shared\MSInfo\MrSoft.bak文件,移動(dòng)并重新命名為C:\Program Files\Common Files\Microsoft Shared\MSInfo\MrSoft.sys文件并對(duì)該文件設(shè)置系統(tǒng)隱藏屬性并進(jìn)行加之。
7.動(dòng)態(tài)庫文件“MrSoft.sys”被加載執(zhí)行后,查找進(jìn)程“QQ.exe”,找到后將嘗試刪除“QQ.exe”所在目錄下的“npkcrypt.sys”,企圖破壞QQ自身密碼保護(hù)機(jī)制,發(fā)現(xiàn)“QQ.exe”進(jìn)程后,將于數(shù)秒后關(guān)閉QQ,企圖迫使用戶再次輸入登陸信息;當(dāng)用戶再次登錄QQ時(shí),通過監(jiān)視QQ登陸窗口各控件,獲取其鍵盤消息,獲得用戶輸入的QQ號(hào)碼、密碼信息。利用獲取后的QQ號(hào)碼以及密碼信息訪問:
http ://pay***.qq.com/****/mypurse?clientuin=
8.嘗試獲取用戶QQ號(hào)碼所攜帶的“Q幣”“游戲幣”等信息,最終病毒將以郵箱收信及空間收信方式將用戶QQ信息上傳至黑客指定地址。
9.病毒創(chuàng)建注冊(cè)表信息:
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
名稱:默認(rèn)
數(shù)據(jù):C:\Program Files\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
鍵值:{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
病毒創(chuàng)建文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\MrSoft.bak
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
病毒訪問網(wǎng)絡(luò):
http://www.****.com/qq/out.asp
http://****.qq.com/clienturl_151
http://****.qq.com/clienturl_156
http ://pay***.qq.com/****/mypurse?clientuin=
病毒創(chuàng)建注冊(cè)表:
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
名稱:默認(rèn)
數(shù)據(jù):C:\Program Files\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
鍵值:{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
