一、 病毒标签:
病毒名称:Trojan-PSW.Win32.QQRob.ma
病毒类型:木马类
文件 MD5: 75CA237F7DAF2C24D08FF3BB6FCE3897
公开范围: 完全公开
危害等级: 3
文件长度: 95,383 字节
感染系统: windows 98以上版本
开发工具:Borland Delphi 6.0 - 7.0
加壳类型:无
二、 病毒描述:
该病毒为木马类,病毒运行后,复制自身到系统目录下,并重命名为wshmcepts.chm 和70311012.dat,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。该病毒在执行时将DLL文件插入到EXPLORER.EXE进程中。尝试禁用杀毒软件的服务。该病毒可以盗取用户QQ的账号与密码。
三、 行为分析:
1、病毒运行后释放文件:
%Program Files%\Common Files\Microsoft Shared\MSInfo\70311012.dat
%Program Files%\Common Files\Microsoft Shared\MSInfo\70311012.dll
%WINDIR%\Help\wshmcepts.chm
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11017031-7031-1012-3110-031010311012}\InProcServer32
键值: 字串: "@" ="C:\Program Files\Common Files\Microsoft Shared\MSINFO\
70311012.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
键值: 字串: "{11017031-7031-1012-3110-031010311012}" = ""
3、设置远程线程来执行70311012.dll,在执行时将70311012.dll插入到EXPLORER.EXE进程和其它相关进程中。
4、尝试禁用杀毒软件的服务,关闭服务项列表如下:
AVP
ccEvtMgr
ccProxy
ccSetMgr
FireSvc
kavsvc
KPfwSvc
KVSrvXP
KVWSC
KWatchSvc
McAfeeFramework
McShield
McTaskManager
MskService
navapsvc
NPFMntor
RfwService
RsCCenter
RsRavMon
SKNFW
SkyProcs
SNDSrvc
SPBBCSvc
Symantec Core LC
5、该病毒的IP 列表:
ttp://jump.qq.com
http://scenecgi.chatshow.qq.com
http://ipseeker.cn/index.php
6、该病毒可以盗取用户QQ的账号与密码。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
卸载插入到EXPLORER.EXE进程70311012.dll
(2) 强行删除病毒文件
%Program Files%\Common Files\Microsoft Shared\MSInfo\70311012.dat
%Program Files%\Common Files\Microsoft Shared\MSInfo\70311012.dll
%WINDIR%\Help\wshmcepts.chm
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11017031-7031-1012-3110-031010311012}\InProcServer32
键值: 字串: "@" ="C:\Program Files\Common Files\Microsoft Shared\MSINFO\
70311012.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
键值: 字串: "{11017031-7031-1012-3110-031010311012}" = ""
|
