病毒名称： Trojan-PSW.Win32.QQPass.xw
中文名称： 盗窍者变种
病毒类型： 木马类
文件 MD5： C6DFB7F8528057F4EE0CB67EB8A3DDEF
公开范围： 完全公开
危害等级： 4
文件长度： 脱壳前18,923 字节，脱壳后129,024 字节
感染系统： Win98以上系统
开发工具： Borland Delphi 6.0 - 7.0
加壳工具： Upack 0.3.9 beta2s -> Dwing

　　病毒体运行后，延时下载病毒体到本机运行。病毒体采用多种方式加载病毒体，以增强病毒存活的可能性。下载的病毒体多为各种网络游戏的盗号程序，此外，最近频繁被挂马的病毒体多为此病毒体变种。

本地行为：
1 、文件运行后会释放以下文件：

　　　　%WinDir%\MsIMMs32.exe 　　　　15,872 字节
　　　　%WinDir%\NVDispDrv.exe 　　　 14,336 字节
　　　　%WinDir%\WinForm.exe 　　　　 13,824 字节
　　　　%System32%\mssql.dll 　　　　 19,088 字节
　　　　%System32%\3.exe 　　　　　　 6,657 字节
　　　　%System32%\MsIMMs32.dll 　　　19,968 字节
　　　　%System32%\mssock.sys 　　　　7,168 字节
　　　　%System32%\mydini.dll 　　　　56 字节
　　　　%System32%\mydins.exe 　　　　12,440 字节
　　　　%System32%\NVDispDrv.dll 　　 16,896 字节
　　　　%System32%\windhcp.ocx 　　　 20,992 字节
　　　　%System32%\WinFormA4.exe 　　 11,461 字节
　　　　%System32%\WinFormA.ini 　　　18 字节
　　　　%ProgramFiles%\Common Files\Microsoft Shared
　　　　\MSInfo\SysWFGQQ2.dll 　　　　241,767字节
　　　　%ProgramFiles%\Common Files\Microsoft Shared
　　　　\MSInfo\SysWFGwd2.dll 　　　　26,662 字节
　　　　%ProgramFiles%\Common Files\Microsoft Shared
　　　　\MSInfo\SysWFGwd.dll 　　　　 26,662 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVGJMON.DAT 　　　　　　　　8,045 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVGJMON.exe 　　　　　　　 12,484 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVQQHXMON.DAT 　　　　 　　7,064 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVQQHXMON.exe 　　　　　　 11,500 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVZTMON.DAT 　　　　　　　 7,813 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVZTMON.exe 　　　　　　　 12,264 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVZXMON.DAT 　　　　　　　 8,109 字节
　　　　%ProgramFiles%\Internet Explorer
　　　　\RAVZXMON.exe 　　　　　　　 12,552 字节
　　　　　　　　
2、新增注册表项：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值：MsIMMs32
　　　　字符串: "C:\WINDOWS\MsIMMs32.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值：NVDispDrv
　　　　字符串: "C:\WINDOWS\NVDispDrv.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值：RAVGJMON
　　　　字符串: "C:\Program Files\Internet Explorer
　　　　\RAVGJMON.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值：RAVMHMON
　　　　字符串: "C:\WINDOWS\Fonts\RAVMHMON.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值：RAVQQHXMO
　　　　字符串: "C:\Program Files\Internet Explorer
　　　　\RAVQQHXMON.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值：RAVZTMON
　　　　字符串: "C:\Program Files\Internet Explorer
　　　　\RAVZTMON.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值：RAVZXMON
　　　　字符串: "C:\Program Files\Internet Explorer
　　　　\RAVZXMON.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　　　\CurrentVersion\Explorer\ShellExecuteHooks\
　　　　键值：{4562452F-FA36-BA4F-892A-FF5FBBAC5314}
　　　　字符串: "mydpri.dll"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　　　\CurrentVersion\Explorer\ShellExecuteHooks\
　　　　键值：{912BC423-3713-224D-3F55-32B35C62B119}
　　　　字符串: "WinFormA4.dll"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{912BC423-3713-224D-3F55-32B35C62B119}\InprocServer32\
　　　　键值：@
　　　　字符串: "C:\WINDOWS\System32\WinFormA4.dll"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32\
　　　　键值：@
　　　　字符串: "C:\ProgramFiles\CommonFiles
　　　　\MicrosoftShared\MSINFO\SysWFGQQ2.dll"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\WS2IFSL\
　　　　键值：DisplayName
　　　　字符串: "Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\WS2IFSL\
　　　　键值：ImagePath
　　　　字符串: "SystemRoot\System32\drivers\ws2ifsl.sys. "
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
　　　　\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\
　　　　键值：PackedCatalogItem
　　　　字符串: "C:\WINDOWS\System32\mssql.dll.dll. "
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
　　　　Parameters\Protocol_Catalog9\Catalog_Entries\000000000013\
　　　　键值：PackedCatalogItem
　　　　字符串: "C:\WINDOWS\System32\mssql.dll.dll"
　　　　
3 、修改注册表项：

网络行为：
　　　　（1）、连接下列地址获得病毒更新地址，继而下载：
　　　　qq.520sf.***(222.172.81.*)/down/down.txt
　　　　病毒地址列表：
　　　　http://qq.520sf.org/**/12abb.exe
　　　　http://74.5460w.cn/**/11.exe
　　　　http://74.5460w.cn/**/12.exe
　　　　http://74.5460w.cn/**/13.exe
　　　　http://74.5460w.cn/**/14.exe
　　　　http://74.5460w.cn/**/15.exe
　　　　http://74.5460w.cn/**/16.exe
　　　　http://74.5460w.cn/**/17.exe
　　　　http://74.5460w.cn/**/18.exe
　　　　http://74.5460w.cn/**/19.exe
　　　　http://74.5460w.cn/**/20.exe
　　　　http://74.5460w.cn/**/21.exe
　　　　http://74.5460w.cn/**/22.exeGET /31/12abb.exe
　　　　（2）、 实际下载的病毒地址列表：
　　　　74.5460w.cn(222.172.81.*) /**/11.exe Trojan
　　　　-PSW.Win32.OnLineGames.agm
　　　　74.5460w.cn(222.172.81.*) /**/21.exe Trojan
　　　　-PSW.Win32.OnLineGames.agm
　　　　www.8998359.com(203.171.233.***)/*.exe Trojan
　　　　-PSW.Win32.OnLineGames.agm
　　　　www.hua28.com(203.171.233.***)/*/
　　　　1.exe Trojan-PSW.Win32.OnLineGames.agm

注：　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32 　　　　　　　

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1) 重新启动电脑到安全模式下。　　
　 　 (2) 使用安天木马防线扫描全盘。
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　 　 (4) 删除病毒衍生的病毒文件

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net