安全响应·Security
病毒分析报告·Report

Trojan-PSW.Win32.QQPass.yl分析

出处:安天CERT 时间:2007-09-24 9:50

病毒标签:

病毒名称: Trojan-PSW.Win32.QQPass.yl
病毒类型: 木马类
文件 MD5: ab6e045bc53e9ad404fcc67ae75ec90d
公开范围: 完全公开
危害等级: 4
文件长度: 34,130字节
感染系统: Win98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述:

  该病毒为木马类,运行后会将病毒自身和一个inf文件衍生到每个逻辑驱动器的根目录下,
当用户双击该驱动器就会启动该病毒;同时衍生病毒文件到程序默认的安装目录下,衍生到该
目录下的WinSys64.Sys实际上是dll文件,通过添加注册表动态的链接此dll,盗取用户QQ密码,
链接网络下载病毒文件。
行为分析:

本地行为:

1、文件运行后会释放以下文件:

    %ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp   34,130 bytes
    %ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys   47,954 bytes
    %DriveLetter%\AutoRun.exe                 34,130 bytes
    %DriveLetter%\AutoRun.Inf                 89 bytes

2、新增注册表:

    [HKEY_CURRENT_USER\Software\Tencent\Gm]
    注册表值:"First"
    类型:REG_SZ
    值:kk

    [HKEY_CLASSES_ROOT\CLSID\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}]
    注册表值:"(Default)"
    类型:REG_SZ

    [HKEY_CLASSES_ROOT\CLSID\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}
    \InProcServer32]
    注册表值:"(Default)"
    类型:REG_SZ
    值:C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys

    [HKEY_CLASSES_ROOT\CLSID\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}
    \InProcServer32]
    注册表值:"ThreadingModel"
    类型:REG_SZ
    值:Apartment

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Explorer\ShellExecuteHooks]
    注册表值:"{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}"
    类型:REG_SZ

网络行为

连接网络:http://www.nmu***.cn(60.169.3.**)

下载病毒文件并自动运行:

    wow.exe     13,156字节     Trojan-PSW.Win32.WOW.xn
    hx2.exe     11,945字节     Trojan-PSW.Win32.OnLineGames.ddl
    jh.exe      12,007字节     Trojan-PSW.Win32.OnLineGames.dbu
    mh.exe      12,800字节     Trojan-PSW.Win32.OnLineGames.ddm

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32       

 
清除方案:
 

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用安天木马防线“进程管理”关闭病毒进程。
    (2)删除病毒文件: 
        %ProgramFiles%\Internet Explorer
        \PLUGINS\SysWin64.Jmp           34,130 bytes
        %ProgramFiles%\Internet Explorer
        \PLUGINS\WinSys64.Sys           47,954 bytes
        %DriveLetter%\AutoRun.exe        34,130 bytes
        %DriveLetter%\AutoRun.Inf        89 bytes
         
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。
        [HKEY_CURRENT_USER\Software\Tencent\Gm]
        注册表值:"First"
        类型:REG_SZ
        值:kk
        [HKEY_CLASSES_ROOT\CLSID\{5D83AD9C-3BFC-43F5-
        979D-2904DBC54A8E}]
        注册表值:"(Default)"
        类型:REG_SZ
        [HKEY_CLASSES_ROOT\CLSID\{5D83AD9C-3BFC-43F5-
        979D-2904DBC54A8E}
        \InProcServer32]
        注册表值:"(Default)"
        类型:REG_SZ
        值:C:\Program Files\Internet Explorer\PLUGINS
        \WinSys64.Sys
        [HKEY_CLASSES_ROOT\CLSID\{5D83AD9C-3BFC-43F5-979D-
        2904DBC54A8E}\InProcServer32]
        注册表值:"ThreadingModel"
        类型:REG_SZ
        值:Apartment
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
        \CurrentVersion\Explorer\ShellExecuteHooks]
        注册表值:"{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}"
        类型:REG_SZ
附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]