Trojan-PSW.Win32.QQPass.khd是一種木馬類病毒,病毒運行後衍生病毒檔案,修改註冊表,添加啟動項,以達到隨機啟動的目的,關閉windows自動更新功能,嘗試終止防毒軟體的啟動和運行。該病毒可以盜取用戶QICQ的賬號與密碼。
基本介紹
- 中文名:Trojan-PSW.Win32.QQPass.khd
- 病毒類型:木馬
- 公開範圍:完全公開
- 危害等級:3
簡介,基本介紹,行為分析,預防方案,
簡介
基本介紹
病毒名稱:Trojan-PSW.Win32.QQPass.khd
檔案長度: 42,132 位元組
感染系統: windows98以上版本
BitDefender [Trojan.ShellHook]
行為分析
該主程式創建並運行檔案%Temp%photos02.jpg(照片檔案) 創建檔案:C:Program FilesInternet ExplorerConnection Wizardxiaran.vxd(DLL動態聯接庫檔案)
檔案創建成功,創建註冊表,開機自啟動檔案xiaran.vxd :
Quote:
項:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
子鍵:{02315C1A-9BA9-4B7C-A432-29995F78DF28}
鍵值:0
項:
HKEY_CLASSES_ROOTCLSID{02315C1A-9BA9-4B7C-A432-29995F78DF28}
鍵值:0
項:
HKEY_CLASSES_ROOTCLSID{02315C1A-9BA9-4B7C-A432-29995F78DF28}InProcServer32
鍵值:C:Program FilesInternet ExplorerConnection Wizardxiaran.vxd
項:
HKEY_CLASSES_ROOTCLSID{02315C1A-9BA9-4B7C-A432-29995F78DF28}InProcServer32
子鍵:ThreadingModel
鍵值:Apartment
然後使用函式SetWindowsHookExA進行全局掛鈎,把xiaran.vxd注入到每一個進程中
xiaran.vxd(DLL動態庫)行為:
當自身注入到進程 explorer.exe中,進行如下動作:
使用API函式URLDownloadToFileA下載病毒到
C:DOCUME~1BryceLOCALS~1Temp~Tm2.tmp.exe
然後運行C:DOCUME~1BryceLOCALS~1Temp~Tm2.tmp.exe下載病毒到
C:DOCUME~1BryceLOCALS~1Temp~Tm13.tmp.exe
然後運行C:DOCUME~1BryceLOCALS~1Temp~Tm13.tmp.exe
當自身注入到進程 QQ.exe中,進行如下動作:
刪除QQ目錄下的npkcrypt.sys檔案,然後載入檔案LoginCtrl.dll,破壞QQ的鍵盤加密鎖
該樣本是使用VC編寫的EXE程式,由微點主動防禦軟體自動捕獲,採用Upack方式加殼,長度為31,331位元組,圖示為,病毒擴展名為exe。病毒主要用於盜取“QQ” 帳號密碼。
預防方案
1、不要在不明站點下載非官方版本的軟體進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉隨身碟自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"。
4、開啟windows自動更新,及時打好漏洞補丁。
