Win32.Troj.QQRob.zp
病毒别名: 处理时间:2006-08-18 威胁级别:★
中文名称: 病毒类型:木马影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个QQ盗号木马。它会将盗去的帐号密码提交给指定的处理网页,
而且该病毒隐秘性很强,建议电脑用户升级杀毒软件,
不要随便运行不名来历的程序,以免中毒受害。
1、生成的文件
%SystemRoot%system32Driversksld.sys
%Program Files%TencentQQTIMPlatfrom.exe
%SystemRoot%system32wdm.exe
2、添加注册表启动项
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
"KernelFaultCheck" = "%SystemRoot%system32wdm.exe"
3、该病毒运行时会吧QQ目录下TIMPlatform.exe文件TIMPlatfrom.exe,
然后将自身复制到该目录,命名为TIMPlatform.exe,并设置属性为隐藏,
这样在运行QQ程序的同时病毒也运行起来。
4、该病毒修改exe文件关联。
5、该病毒运行时会尝试结束以下程序
SERVICES.EXE
SMSS.EXE
CSRSS.EXE
WINLOGON.EXE
LSASS.EXE
SVCHOST.EXE
ALG.EXE
TIMPLATFORM.EXE
RUNDLL32.EXE
6、该病毒为了避免杀毒软件查杀,采用名称加密,动态获取一些驱动级的Native API进行免杀。
7、该病毒使用了两个不同的加密算法保存加密信息,其中一处经过简单加密保存了一些加密信息,
主要算法是加密字符串逐个字节与0xC8做异或运算。下面是解密后的信息:
"\Drivers\ksld.sys"
"RtlInitUnicodeString"
"ZwSetSystemInformation"
"ZwQuerySystemInformation"
"KeServiceDescriptorTable"
"SERVICES.EXE,SMSS.EXE,CSRSS.EXE,WINLOGON.EXE,LSASS.EXE,SVCHOST.EXE,ALG.EXE,TIMPLATFORM.EXE,RUNDLL32.EXE"
"SOFTWARE\TENCENT\PLATFORM_TYPE_LIST\1"
"TIMPlatform.exe"
"exefile\shell\open\command"
"SOFTWARE\Microsoft\Windows NT\CurrentVersion"
8、该病毒运行后会删除原病毒文件。
9、该病毒文件的版本信息
产品版本:5.1.2600.0
产品名称:Microsoft? Windows? Operating System
公司:Microsoft Corporation
内部名称:wdm
文件版本:5.1.2600.0
语言:中文(中国)
源文件名:wdm.exe
描述:Microsoft Wdm Control
版权:? Microsoft Corporation. All rights reserved.