安全响应·Security
病毒分析报告·Report

Trojan-PSW.Win32.QQPass.ia分析

2006 年 07 月 25 日
安天CERT

病毒标签:

病毒名称: Trojan-PSW.Win32.QQPass.ia
病毒类型: 木马类
文件 MD5: A807F5BF2635DDD3601D7CC933A4CD53
公开范围: 完全公开
危害等级: 中
文件长度: 498,976 字节
感染系统: windows98以上版本
开发工具: Microsoft VisualC++6.0
加壳类型: ASProtect 1.2x
命名对照: Symentec[无]
      Mcafee[无]
病毒描述:

   该病毒属木马类,病毒盗用系统图标,骗取用户点击。病毒运行后释放病毒文件error.dat、soundman.exe、systask.dll到系统盘,添加注册表起动项,以达到随机启动的目的。该病毒可以盗取QICQ账号密码,并以邮件的形式发送给病毒作者。该病毒对用户有一定的危害。
行为分析:

1、病毒盗用系统图标,骗取用户点击。

2、病毒运行后在系统盘释放病毒文件:

%WINDOWS%\system32\error.dat
%WINDOWS%\system32\soundman.exe
%WINDOWS%\system32\systask.dll

3、添加注册表启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
键值: 字串: "SOUNDMAN"="C:\WINDOWS\SYSTEM32\SOUNDMAN.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
键值: 字串: "病毒所在路径 \SOUNDMAN.EXE"=
"Realtek Sound Manager"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shel
l\open\command\
新建键值"C:\WINDOWS\SYSTEM32\SOUNDMAN.EXE %1 %*"
原键值: ""%1" %*"

4、该病毒可以盗取QICQ账号密码,并以邮件的形式发送给病毒作者:

病毒作者邮箱:mimakill@775.com

注:%WINDOWS%是一个可变路径。病毒通过查询操作系统来决定当前WINDOWS文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt,windows95/98/me/XP中默认的安装路径是C:\Windows。
清除方案 :
 

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。


(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件

%WINDOWS%\system32\error.dat
%WINDOWS%\system32\soundman.exe
%WINDOWS%\system32\systask.dll

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
键值: 字串: "SOUNDMAN"="C:\WINDOWS\SYSTEM32
\SOUNDMAN.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
键值: 字串: "病毒所在路径 \SOUNDMAN.EXE"=
"Realtek Sound Manager"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
\shell\open\command\
新建键值"C:\WINDOWS\SYSTEM32\SOUNDMAN.EXE %1 %*"
原键值: ""%1" %*"
附:
  安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:

  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。

  • 高效木马查杀 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
  • 系统安全管理
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
  • 实时网络防护
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
关于安天:
 

  安天信息技术有限责任公司(中国安天实验室,Antiy Labs),是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索,持续研发,拥有自有核心技术和产品。

   安天积极推动核心技术向关键产品的转化。安天目前是国内最大的独立可嵌入反病毒引擎和内容过滤体制供应商,在网络病毒监控设备、反木马与主机保护等领域,安天的相关产品也引领着市场需求与技术风潮。
[TOP]