安全响应·Security
病毒分析报告·Report

Trojan-PSW.Win32.QQPass.boo分析

出处:安天病毒分析组 时间:2008-04-28 16:40

病毒标签:

病毒名称: Trojan-PSW.Win32.QQPass.boo
病毒类型: QQ盗号木马
文件 MD5: A4ABB57EA40E9B7E4553595D0EDB916B
公开范围: 完全公开
危害等级: 3
文件长度: 30,824 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0 [Overlay]
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
病毒描述:

  该病毒为QQ盗号木马类,病毒运行后调用API获取系统文件夹路径,调用函数
CreateFileA向系统目录%program files%\internet explorer\plugins\写入病毒
文件;判断该目录是否存在Nv_Win3s.Jmp、NewSys55.Sys病毒文件,如存在则将其删
除并重新创建,修改注册表,添加HOOK项,将“NewSys55.Sys”注册为浏览器辅助对象
(BHO),实现开机自动运行。将NewSys55.Sys病毒文件注入到Explorer.exe进程中,
遍历窗口查找(tencent_qqtoolbar与Tencent_QQBar)QQ登陆窗口,一旦发现QQ登陆
窗口便记录键盘信息,窃取用户的QQ帐号及密码,通过URL发送到木马种植者指定的接收
网址。

行为分析:

本地行为:

1、文件运行后会释放以下文件:
    %program files%\internet explorer
    \plugins\NewSys55.Sys         44,648 字节
    
    %program files%\internet explorer
    \plugins\Nv_Win3s.Jmp         30,824 字节

2、修改注册表添加HOOK启动项:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes
    \CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
    \InProcServer32]
    新建键值: "@"
    类型: REG_SZ
    字串: “C:\Program Files\Internet Explorer
    \PLUGINS\NewSys55.Sys”
    描述: 创建病毒键值及病毒路径

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes
    \CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
    \InProcServer32]
    新建键值: "ThreadingModel"
    类型: REG_SZ
    字串: “Apartment”
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Explorer
    \Browser Helper Objects
    \{D29DCEE0-457B-45A2-A92D-741B95B7723B}]
    描述:将病毒键注册为浏览器辅助对象(BHO),
    实现木马开机自动运行
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Explorer\ShellExecuteHooks
    \{D29 DCEE0-457B-45A2-A92D-741B95B7723B}]
    字串: “”
    描述:添加HOOK项

3、将NewSys55.sys病毒文件插入Explorer.exe进程中。

4、遍历窗口查找(tencent_qqtoolbar)QQ登陆窗口,一旦发现QQ登陆窗口便记录
  键盘信息,窃取用户的QQ用户名和密码。

5、通过URL发送到木马种植者指定的接收网址,木马接收地址:
  http://ccc.52***.com/Qq9.asp

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  
        

    
清除方案:
 

1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载: www.antiy.com 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用ATOOL“进程管理”关闭病毒进程:
      结束Explorer.exe进程。
    (2)强行删除病毒文件:
      %program files%\internet explorer
      \plugins\NewSys55.Sys
      %program files%\internet explorer
      \plugins\Nv_Win3s.Jmp
    (3)删除病毒创建的注册表项:
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes
     \CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
     \InProcServer32]
     新建键值: "@"
     类型: REG_SZ
     字串: “C:\Program Files\Internet Explorer
     \PLUGINS\NewSys55.Sys”
     描述: 添加注册表项,以达到随机启动的目的
     [HKEY_LOCAL_MACHINE\SOFTWARE\Classes
     \CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
     \InProcServer32]
     新建键值: "ThreadingModel"
     类型: REG_SZ
     字串: “Apartment”
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows\CurrentVersion\Explorer
     \Browser Helper Objects
     \{D29DCEE0-457B-45A2-A92D-741B95B7723B}]
     描述:将病毒键注册为浏览器辅助对象(BHO),
     实现木马开机自动运行
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows\CurrentVersion\Explorer
     \ShellExecuteHooks
     \{D29 DCEE0-457B-45A2-A92D-741B95B7723B}]
     字串: “”
     描述:添加HOOK项

附:
 


点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]