Trojan-PSW.Win32.QQPass.ti

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Trojan-PSW.Win32.QQPass.ti

病毒类型：木马

文件 MD5： 79FEAF1971584A32005F9EF4837367B1

公开范围：完全公开

危害等级： 3

文件长度： 53,376 字节

感染系统： windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPolyX v0.5

命名对照：驱逐舰[无]

BitDefender [无]

病毒描述：

该病毒属木马类，病毒图标为记事本图标，用以迷惑用户点击。病毒运行后衍生病毒文件到系统目录下，修改注册表，无法显示所有文件和文件夹，添加启动项，以达到随机启动的目的。尝试终止部分反病毒软件的进程和服务，检取所有窗口标题栏，含防火墙、杀毒、专杀、安全、木马、网镖、QQ医生等信息则关闭窗口，以降低系统安全性能。该病毒可以感染U盘，并会通过U盘等移动存储设备传播。衍生的病毒文件wqajne.dll插入到进程iexplore.exe中，并禁止卡巴斯基的服务。删除QQ升级程序，以阻止QQ自动升级。监控QQ进程，当用户登陆QQ时，记录键盘和软键盘的操作，从而盗取用户的QQ号与密码。在成功盗取了用户的QQ号与密码后，把QQ号与密码发送到指定的地址。

行为分析：

1、病毒运行后衍生病毒文件到系统目录下：

%system32%qqhx.dat

%system32%wqajne.dll

%system32%wqajne.exe

2、修改注册表，无法显示所有文件和文件夹：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvancedFolderHiddenSHOWALLCheckedValue

新建键值：字串："0"

原键值：字串：DWORD: 1 (0x1)

3、添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键值: 字串: "niaegq"="C:WINDOWSsystem32wqajne.exe"

4、尝试终止部分反病毒软件的进程：

sc.exe

net1.exe

KVOL.exe

KVFW.exe

adam.exe

TBMon.exe

kav32.exe

kvwsc.exe

CCAPP.exe

conime.exe

EGHOST.exe

KRegEx.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

EGHOST.exe

KavPFW.exe

SHSTAT.exe

KWATCHUI.exe

MCVSESCN.exe

MSKAGENT.exe

kvolself.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

FireTray.exe

UpdaterUI.exe

KVSrvXp_1.exe

RavService.exe

5、尝试禁止反病毒软件的服务：

stop srservice

net.exeopen

open

config srservice start= disabled

sc.exe

open

stop sharedaccess

net.exeopen

open

stop KVWSC

net.exeopen

open

config KVWSC start= disabled

sc.exe

open

stop KVSrvXP

net.exeopen

open

config KVSrvXP start= disabled

sc.exe

open

stop kavsvcconfig kavsvc start= disabled

net.exeopen

open

config kavsvc start= disabled

sc.exe

open

config RsRavMon start= disabledstop RsCCenter

sc.exe

open

stop RsCCenter

net.exeopen

open

config RsCCenter start= disabled

sc.exe

open

stop RsRavMon

net.exeopen

6、检取所有窗口标题栏，含以下字符等信息则关闭窗口：

防火墙

网镖

杀毒

木马

专杀

安全

QQ医生

7、该病毒可以感染U盘，并会通过U盘等移动存储设备传播：

[AutoRun]

autorun.inf

open=sxs.exe

shellexecute=sxs.exe

shellAutocommand=sxs.exe

8、衍生的病毒文件wqajne.dll插入到进程iexplore.exe中：

9、衍生的病毒文件wqajne.dll单独禁止卡巴斯基的服务：

stop AVP

config AVP start= disabled

10、删除QQ升级程序，以阻止QQ自动升级：

删除以下文件：

npkcrypt.sys

QQLiveUpdate.exe

QQUpdateCenter.exe

LoginCtrl.dll

11、wqajne.dll监控QQ进程，当用户登陆QQ时，记录键盘和软键盘的操作：

003D83A6

003D8402

003D8409

003D8435

003D8452

003D845D

003D84B1

003D84C3

003D84E5

003D84F6

003D8508

003D851A

mov edx,wqajne.003D85F0

push wqajne.003D861C

push wqajne.003D862C

push wqajne.003D861C

push wqajne.003D862C

push wqajne.003D8648

push wqajne.003D8658

mov ecx,wqajne.003D8668

push wqajne.003D8648

push wqajne.003D8658

push wqajne.003D867C

<请在这儿输入QQ号码>

----

num=(QQ号码)

&pass=(QQ密码)

Send OK!

num=(QQ号码)

&pass=(QQ密码)

&hxip=

12、在成功盗取了用户的QQ号与密码后，把QQ号与密码发送到指定的地址：

http://www.ctv163.com/alexa/Css/heixia.asp

222.180.37.206:80

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

关闭所有的IE窗口

wqajne.exe

(2) 删除病毒文件

%system32%qqhx.dat

%system32%wqajne.dll

%system32%wqajne.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvancedFolderHiddenSHOWALLCheckedValue

新建键值：字串："0"

原键值：字串：DWORD: 1 (0x1)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键值: 字串: "niaegq"="C:WINDOWSsystem32wqajne.exe"