安全响应·Security
病毒分析报告·Report

Worm.Win32.QQPass.e分析

出处:安天病毒分析组 时间:2008-02-10 10:30

病毒标签:

病毒名称: Worm.Win32.QQPass.e
病毒类型: 蠕虫类
文件 MD5: 87B658111C0D2E26D04ECA66B89BE0A4
公开范围: 完全公开
危害等级: 4
文件长度: 16,948 字节
感染系统: Windows98以上版本
开发工具: orland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述:

  该病毒为木蠕虫类,病毒运行后复制自身到系统目录,衍生病毒文件。 修改
注册表,添加启动项,以达到随机启动的目的。NewTemp.dll插入EXPLORER.EXE
进程中,并以EXPLORER.EXE进程连接网络下载病毒文件。该病毒可盗取用户的帐
号密码等敏感信息。
行为分析:

本地行为:

1、文件运行后会衍生以下文件:

    %DriveLetter%\autorun.inf     100 字节
    %DriveLetter%\PegeFile.pif     16,948字节
    %Program Files%\Internet Explorer
    \PLUGINS\NewTemp.bak        16,948字节
    %Program Files%\Internet Explorer
    \PLUGINS\NewTemp.dll        10,804字节
  
2、新建注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{0EA66AD2-CF26-2E23-532B-B292E22F3266}
    \InProcServer32]
    注册表值:"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"
    类型: REG_SZ
    值: ""
    描述:添加启动项,以达到随机启动的目的

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Explorer
    \ShellExecuteHooks]
    注册表值:"@"
    类型: REG_SZ
    值: "C:\Program Files\Internet Explorer
    \PLUGINS\NewTemp.dll"
    描述:添加启动项,以达到随机启动的目的


3、将NewTemp.dll插入到EXPLORER.EXE进程和应用程序进程中.    

4、该病毒在驱动器的各个盘符下创建启动文件autorun.inf和该启动文件对应的
  执行文件,在用户双击打开盘符时便会启动病毒程序。

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用安天木马防线或ATool中的“进程管理”关闭病毒
      插入的NewTemp.dll。
    (2)强行删除病毒文件:
     %DriveLetter%\autorun.inf 100 字节
     %DriveLetter%\PegeFile.pif 16,948字节
     %Program Files%\Internet Explorer
     \PLUGINS\NewTemp.bak 16,948字节
     %Program Files%\Internet Explorer
     \PLUGINS\NewTemp.dll 10,804字节
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
     [HKEY_LOCAL_MACHINE\SOFTWARE
     \Classes\CLSID\{0EA66AD2-CF26-2E23
     -532B-B292E22F3266}\InProcServer32]
     注册表值:"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"
     类型: REG_SZ
     值: ""
     [HKEY_LOCAL_MACHINE\SOFTWARE
     \Microsoft\Windows\CurrentVersion
     \Explorer\ShellExecuteHooks]
     注册表值:"@"
     类型: REG_SZ
     值: "C:\Program Files\Internet Explorer
     \PLUGINS\NewTemp.dll"
附:
 


点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]