簡介
病毒名稱: Trojan-PSW.Win32.QQPass.qn病毒類型: 木馬
檔案 MD5: C9C33EF5BE153F0C7609249645142B61
公開範圍: 完全公開
危害等級: 3
檔案長度: 37,587 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: FS G 2.0
命名對照: NOD32 [ Win32/PSW.QQPass.JF ]
AVG [ Trojan horse PSW.Generic2.TZJ ]
病毒描述
該病毒屬木馬類,病毒利用記事本圖示,名稱為:個人檔案 .exe 、成人小說 .exe 、重要資料 .exe 來迷惑用戶。病毒運行後衍生病毒檔案到系統目錄下,修改註冊表,添加啟動項,以達到隨機啟動的目的,隱藏檔案,病毒衍生的檔案插入到系統進程 explorer.exe 中,並插入到所有套用級程式進程。破壞 QQ 升級程式,嘗試結束部分反病毒軟體進程,刪除反病毒軟體啟動項、服務等, 該病毒可以通過 U 盤進行傳播, 該病毒可以盜取用戶 QQ 賬號與密碼,並傳送到指定的信箱中。行為分析
1 、病毒利用記事本圖示,名稱為:個人檔案 .exe 、成人小說 .exe 、重要資料 .exe 來迷惑用戶。
2 、病毒運行後衍生病毒檔案到系統目錄下:
%system32%\gaxhpv.dll
%system32%\gaxhpv.exe
%system32%\qqhx.dat
3 、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "xjawxa"="C:\WINDOWS\system32\gaxhpv.exe"
4 、隱藏檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
新建鍵值 : 字串 : "CheckedValue"="0"
原鍵值 : 字串 : "CheckedValue"="1"
5 、將 gaxhpv.dll 插入到系統進程 explorer.exe 及所有套用級程式進程中:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\ NoDriveTypeAutoRun
新建鍵值 : DWORD: 189 (0xbd)
原鍵值 : DWORD: 145 (0x91)
6 、 破壞 QQ 升級程式:
QQLiveUpdate.exe
7 、 嘗試結束部分反病毒軟體進程:
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
conime.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
8 、刪除部分反病毒軟體啟動項:
RavTask
Software\Microsoft\Windows\CurrentVersion\Run
KvMonXP
Software\Microsoft\Windows\CurrentVersion\Run
YLive.exe
Software\Microsoft\Windows\CurrentVersion\Run
yassistse
Software\Microsoft\Windows\CurrentVersion\Run
KAVPersonal50
Software\Microsoft\Windows\CurrentVersion\Run
JQbkgu
tVersion\Run
Slhkk}r
Software\Microsoft\Windows\CurrentVersion\Run
9 、該病毒可以通過 U 盤進行傳播:
autorun.inf
AutoRun]
autorun.inf
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
10 、該病毒可以通過 U 盤進行傳播, 該病毒可以盜取用戶 QQ 賬號與密碼,並傳送到指定的
信箱中:
當用戶開啟 QQ 程式時 , gaxhpv.dll 開始記錄鍵盤操作,包括軟鍵盤, 記錄 QQ 賬號與
密碼後利用信箱 ch*nji*p*[email protected] 傳送到 ch*nji*ox*[email protected] 。從而盜取用用 QQ 賬號
與密碼。
用戶名: chenjiupqq
密 碼: ******
發信人: ch*nji*p*[email protected]
收信人: ch*nji*ox*[email protected]
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程:
gaxhpv.exe
explorer.exe
(2) 刪除病毒檔案:
%system32%\gaxhpv.dll
%system32%\gaxhpv.exe
%system32%\qqhx.dat
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "xjawxa"="C:\WINDOWS\system32\gaxhpv.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\ NoDriveTypeAutoRun
新建鍵值 : DWORD: 189 (0xbd)
原鍵值 : DWORD: 145 (0x91)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
新建鍵值 : 字串 : "CheckedValue"="0"
原鍵值 : 字串 : "CheckedValue"="1"