簡介
基本介紹
病毒名稱: Trojan-PSW.Win32.QQPass.pn
檔案 MD5: E75D8A8738CE0B660A9315A7F9C384B8
檔案長度: 42,132 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
命名對照: 驅逐艦[Trojan.PWS.QQPass.267]
BitDefender [Trojan.ShellHook]
行為分析
1、病毒運行後衍生病毒檔案:
c:\Program Files\Common Files\Microsoft Shared\MSInfo
\70311012.dll
c:\Program Files\Common Files\Microsoft Shared\MSInfo
\70311012.dat
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11017031-7031
-1012-3110-031010311012}\InProcServer32
值: 字元串: "@"="C:\Program Files\Common Files\Microsoft
Shared\MSINFO\70311012.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11017031-7031
-1012-3110-031010311012}\InProcServer32\
值: 字元串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77\
值: 字元串: "CurrentCacheFile"= "C:\WINDOWS\SoftwareDistribution
\EventCache\{A4224788-4510-4E55-88CA-F03B373DED69}.bin"
3、關閉windows自動更新功能
4、嘗試終止某些防毒軟體的啟動和運行:
AVP
ccEvtMgr
ccProxy
ccSetMgr
FireSvc
Kavsvc
KPfwSvc
KVSrvXP
KVWSC
McAfeeFramework
McTaskManager
MskService
Navapsvc
NPFMntor
RfwService
RsRavMon
SKNFW
SkyProcs
SPBBCSvc
Symantec Core LC
5、該病毒可以盜取用戶QICQ的賬號與密碼
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
c:\Program Files\Common Files\Microsoft Shared\MSInfo\70311012.dll
c:\Program Files\Common Files\Microsoft Shared\MSInfo\70311012.dat
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11017031
-7031-1012-3110-031010311012}\InProcServer32
值: 字元串: "@"="C:\Program Files\Common Files\Microsoft
Shared\MSINFO\70311012.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11017031-7031
-1012-3110-031010311012}\InProcServer32\
值: 字元串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Reporting\EventCache\9482f4b4-e343
-43b6-b170-9a65bc822c77\
值: 字元串: "CurrentCacheFile"= "C:\WINDOWS\SoftwareDistribution\EventCache\
{A4224788-4510-4E55-88CA-F03B373DED69}.bin"