病毒信息
病毒名稱: Trojan-PSW.Win32.QQPass.ti
病毒類型: 木馬
檔案 MD5: 79FEAF1971584A32005F9EF4837367B1
公開範圍: 完全公開
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPolyX v0.5
命名對照: 驅逐艦[無]
BitDefender [無]
病毒描述
衍生的病毒檔案wqajne.dll插入到進程iexplore.exe中,並禁止卡巴斯基的服務。刪除QQ升級程式,以阻止QQ自動升級。監控QQ進程,當用戶登入QQ時,記錄鍵盤和軟鍵盤的操作,從而盜取用戶的QQ號與密碼。在成功盜取了用戶的QQ號與密碼後,把QQ號與密碼傳送到指定的地址。
行為分析
1、病毒運行後衍生病毒檔案到系統目錄下:
%system32%\qqhx.dat
%system32%\wqajne.dll
%system32%\wqajne.exe
2、修改註冊表,無法顯示所有檔案和資料夾:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新建鍵值:字串:"0"
原鍵值:字串:DWORD: 1 (0x1)
3、添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值: 字串: "niaegq"="C:\WINDOWS\system32\wqajne.exe"
4、嘗試終止部分反病毒軟體的進程:
sc.exe
net1.exe
KVOL.exe
KVFW.exe
adam.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
conime.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
SHSTAT.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
5、嘗試禁止反病毒軟體的服務:
stop srservice
net.exeopen
open
config srservice start= disabled
sc.exe
open
stop sharedaccess
net.exeopen
open
stop KVWSC
net.exeopen
open
config KVWSC start= disabled
sc.exe
open
stop KVSrvXP
net.exeopen
open
config KVSrvXP start= disabled
sc.exe
open
stop kavsvcconfig kavsvc start= disabled
net.exeopen
open
config kavsvc start= disabled
sc.exe
open
config RsRavMon start= disabledstop RsCCenter
sc.exe
open
stop RsCCenter
net.exeopen
open
config RsCCenter start= disabled
sc.exe
open
stop RsRavMon
net.exeopen
6、檢取所有視窗標題欄,含以下字元等信息則關閉視窗:
防火牆
網鏢
防毒
木馬
專殺
安全
QQ醫生
7、該病毒可以感染隨身碟,並會通過隨身碟等移動存儲設備傳播:
[AutoRun]
\autorun.inf
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
8、衍生的病毒檔案wqajne.dll插入到進程iexplore.exe中:
9、衍生的病毒檔案wqajne.dll單獨禁止卡巴斯基的服務:
stop AVP
config AVP start= disabled
10、刪除QQ升級程式,以阻止QQ自動升級:
刪除以下檔案:
npkcrypt.sys
QQLiveUpdate.exe
QQUpdateCenter.exe
LoginCtrl.dll
11、wqajne.dll監控QQ進程,當用戶登入QQ時,記錄鍵盤和軟鍵盤的操作:
003D83A6
003D8402
003D8409
003D8435
003D8452
003D845D
003D84B1
003D84C3
003D84E5
003D84F6
003D8508
003D851A
mov edx,wqajne.003D85F0
push wqajne.003D861C
push wqajne.003D862C
push wqajne.003D861C
push wqajne.003D861C
push wqajne.003D862C
push wqajne.003D8648
push wqajne.003D8658
mov ecx,wqajne.003D8668
push wqajne.003D8648
push wqajne.003D8658
push wqajne.003D867C
<請在這兒輸入QQ號碼>
----
\n\n
----
----
\n\n
num=(QQ號碼)
&pass=(QQ密碼)
Send OK!
num=(QQ號碼)
&pass=(QQ密碼)
&hxip=
12、在成功盜取了用戶的QQ號與密碼後,把QQ號與密碼傳送到指定的地址:
http://www.ctv163.com/alexa/Css/heixia.asp
222.180.37.206:80
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
關閉所有的IE視窗
wqajne.exe
(2) 刪除病毒檔案
%system32%\qqhx.dat
%system32%\wqajne.dll
%system32%\wqajne.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新建鍵值:字串:"0"
原鍵值:字串:DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值: 字串: "niaegq"="C:\WINDOWS\system32\wqajne.exe"
