病毒名称： Trojan-PSW.Win32.QQPass.cdw
病毒类型： 木马
文件 MD5： 9527A14F4190E49EC31E601295A5717C
公开范围： 完全公开
危害等级： 3
文件长度： 加壳后30,840 字节 脱壳后104,056字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　该病毒为盗窃QQ账号的木马，病毒运行后，复制自身到%Program Files%
\Internet Explorer\PLUGINS目录下，并重命名为UnixSys32.Jmp，并在该目录下
衍生含有隐藏属性的病毒文件UnixSys08.Sys；新建注册表项，创建CLSID值，添加
HOOK项，以达到当系统启动的时候利用Explorer.exe进程加载UnixSys08.Sys；浏览
器劫持，添加注册表BHO项，用来当IE运行时加载UnixSys08.Sys；并试图通过全局挂
钩把UnixSys08.Sys注入到所有进程中，通过截获当前用户的键盘和鼠标消息以获取QQ
的账号及密码，发送到病毒作者指定的URL；该病毒在实现完自身代码后，会结束自身
进程。

本地行为：

1、文件运行后会释放以下文件：

　　　　%Program Files%\Internet Explorer
　　　　\PLUGINS\UnixSys08.Sys 　　　　　　　　44,664 字节
　　　　%Program Files%\Internet Explorer
　　　　\PLUGINS\UnixSys32.Jmp 　　　　　　　　30,840字节

2、新增注册表：
　　　　
　　　　[HKEY_CURRENT_USER\Software\Tencent\Unix]
　　　　注册表值: "Eo9"
　　　　类型： REG_SZ
　　　　字符串： "kk"
　　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{74381DEC-D78B-43E4-BA5D-5244F669EBE4}
　　　　\InProcServer32]
　　　　注册表值: "@ "
　　　　类型： REG_SZ
　　　　字符串： "C:\Program Files\Internet Explorer
　　　　\PLUGINS\UnixSys08.Sys"
　　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{74381DEC-D78B-43E4-BA5D-5244F669EBE4}
　　　　\InProcServer32]
　　　　注册表值: "ThreadingModel"
　　　　类型： REG_SZ
　　　　字符串： "Apartment"
　　　　描述：注册CLSID值

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\ShellExecuteHooks]
　　　　注册表值: "{74381DEC-D78B-43E4-BA5D-5244F669EBE4}"
　　　　类型： REG_SZ
　　　　字符串： ""
　　　　描述: 以达到当系统启动的时候利用Explorer.exe
　　　　进程加载UnixSys08.Sys

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\Browser Helper Objects]
　　　　注册表值: "{74381DEC-D78B-43E4-BA5D-5244F669EBE4}"
　　　　类型： REG_SZ
　　　　字符串： ""
　　　　描述:添加病毒文件fjOs0r.dll至浏览器辅助对象BHO，
　　　　以到达在用户启动IE时加载UnixSys08.Sys

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 (1)使用ATOOL卸载注入到相关进程的UnixSys08.Sys，具体操作
　 　 如下：
　 　 打开ATOOL→工具菜单→搜索处置DLL项→输入UnixSys08.Sys，
　 　 点击查找→点击卸载，当出现“您是否要卸载含有unixsys08.sys
　 　 的被加载运行的所有dll文件时，选“是(Y)即可。
　 (2)删除病毒衍生的文件：
　 　 %Program Files%\Internet Explorer
　 　 \PLUGINS\UnixSys08.Sys
　 　 %Program Files%\Internet Explorer
　 　 \PLUGINS\UnixSys32.Jmp
　 (3)删除病毒添加的注册表项 ：
　 　 删除[HKEY_LOCAL_MACHINE\SOFTWARE
　 　 \Classes\CLSID]下的{74381DEC-D78B-
　 　 43E4-BA5D-5244F669EBE4}子键
　 　 删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 \Windows\CurrentVersion\Explorer
　 　 \Browser Helper Objects]下的
　 　 {74381DEC-D78B-43E4-BA5D-5244F669EBE4}子键
　 　 删除[HKEY_LOCAL_MACHINE\SOFTWARE
　 　 \Microsoft\Windows\CurrentVersion
　 　 \Explorer\ShellExecuteHooks]下的
　 　 {74381DEC-D78B-43E4-BA5D-5244F669EBE4}值
　 　 删除[HKEY_CURRENT_USER\Software\Tencent]下的UNIX子键

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net