Trojan-PSW.Win32.QQPass.qn

王朝百科·作者佚名  2010-02-19  
宽屏版  字体: |||超大  

病毒名称: Trojan-PSW.Win32.QQPass.qn

病毒类型: 木马

文件 MD5: C9C33EF5BE153F0C7609249645142B61

公开范围: 完全公开

危害等级: 3

文件长度: 37,587 字节

感染系统: windows98以上版本

开发工具: Borland Delphi 6.0 - 7.0

加壳类型: FS G 2.0

命名对照: NOD32 [ Win32/PSW.QQPass.JF ]

AVG [ Trojan horse PSW.Generic2.TZJ ]

病毒描述:

该病毒属木马类,病毒利用记事本图标,名称为:个人档案 .exe 、成人小说 .exe 、重要

资料 .exe 来迷惑用户。病毒运行后衍生病毒文件到系统目录下,修改注册表,添加启动项,以达到随机启动的目的,隐藏文件,病毒衍生的文件插入到系统进程 explorer.exe 中,并插入到所有应用级程序进程。破坏 QQ 升级程序,尝试结束部分反病毒软件进程,删除反病毒软件启动项、服务等, 该病毒可以通过 U 盘进行传播, 该病毒可以盗取用户 QQ 账号与密码,并发送到指定的

邮箱中。

行为分析:

1 、病毒利用记事本图标,名称为:个人档案 .exe 、成人小说 .exe 、重要资料 .exe 来迷惑

用户。

2 、病毒运行后衍生病毒文件到系统目录下:

%system32%gaxhpv.dll

%system32%gaxhpv.exe

%system32%qqhx.dat

3 、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键值 : 字串 : "xjawxa"="C:WINDOWSsystem32gaxhpv.exe"

4 、隐藏文件:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvancedFolderHiddenSHOWALL

新建键值 : 字串 : "CheckedValue"="0"

原键值 : 字串 : "CheckedValue"="1"

5 、将 gaxhpv.dll 插入到系统进程 explorer.exe 及所有应用级程序进程中:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesExplorer NoDriveTypeAutoRun

新建键值 : DWORD: 189 (0xbd)

原键值 : DWORD: 145 (0x91)

6 、 破坏 QQ 升级程序:

QQLiveUpdate.exe

7 、 尝试结束部分反病毒软件进程:

net.exe

sc1.exe

net1.exe

PFW.exe

Kav.exe

KVOL.exe

KVFW.exe

adam.exe

TBMon.exe

kav32.exe

kvwsc.exe

CCAPP.exe

conime.exe

EGHOST.exe

KRegEx.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

EGHOST.exe

KavPFW.exe

SHSTAT.exe

RavTask.exe

TrojDie.kxp

Iparmor.exe

MAILMON.exe

MCAGENT.exe

KAVPLUS.exe

RavMonD.exe

Rtvscan.exe

Nvsvc32.exe

Kvsrvxp.exe

CCenter.exe

KpopMon.exe

RfwMain.exe

KWATCHUI.exe

MCVSESCN.exe

MSKAGENT.exe

kvolself.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

FireTray.exe

UpdaterUI.exe

KVSrvXp_1.exe

RavService.exe

8 、删除部分反病毒软件启动项:

RavTask

SoftwareMicrosoftWindowsCurrentVersionRun

KvMonXP

SoftwareMicrosoftWindowsCurrentVersionRun

YLive.exe

SoftwareMicrosoftWindowsCurrentVersionRun

yassistse

SoftwareMicrosoftWindowsCurrentVersionRun

KAVPersonal50

SoftwareMicrosoftWindowsCurrentVersionRun

JQbkgu

tVersionRun

Slhkk}r

SoftwareMicrosoftWindowsCurrentVersionRun

9 、该病毒可以通过 U 盘进行传播:

autorun.inf

AutoRun]

autorun.inf

open=sxs.exe

shellexecute=sxs.exe

shellAutocommand=sxs.exe

10 、该病毒可以通过 U 盘进行传播, 该病毒可以盗取用户 QQ 账号与密码,并发送到指定的

邮箱中:

当用户开启 QQ 程序时 , gaxhpv.dll 开始记录键盘操作,包括软键盘, 记录 QQ 账号与

密码后利用邮箱 ch*nji*p*q@tom.com 发送到 ch*nji*ox*q@tom.com 。从而盗取用用 QQ 账号

与密码。

用户名: chenjiupqq

密 码: ******

发信人: ch*nji*p*q@tom.com

收信人: ch*nji*ox*q@tom.com

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案:

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程:

gaxhpv.exe

explorer.exe

(2) 删除病毒文件:

%system32%gaxhpv.dll

%system32%gaxhpv.exe

%system32%qqhx.dat

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

键值 : 字串 : "xjawxa"="C:WINDOWSsystem32gaxhpv.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesExplorer NoDriveTypeAutoRun

新建键值 : DWORD: 189 (0xbd)

原键值 : DWORD: 145 (0x91)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvancedFolderHiddenSHOWALL

新建键值 : 字串 : "CheckedValue"="0"

原键值 : 字串 : "CheckedValue"="1"

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有