Trojan-PSW.Win32.QQPass.up

該病毒運行後,衍生病毒檔案到系統程式目錄下。添加註冊表 ShellExecuteHooks 項,間接掛載病毒程式到所有進程中,從而獲取敏感信息通過內建的 SMTP 程式,傳送到指定地址。此病毒對最新版的QQ程式亦有效。

基本介紹

  • 中文名:vvQQ 大盜 2007
  • 外文名:Trojan-PSW.Win32.QQPass.up
  • 病毒類型:木馬
  • 公開範圍:完全公開
  • 危害等級:3
簡介,行為分析,清除方案,

簡介

病毒名稱: Trojan-PSW.Win32.QQPass.up
中文名稱: vvQQ 大盜 2007
檔案 MD5: EC2307953F369F9E3143E26808DA48A7
檔案長度: 加殼後 39,189 位元組,脫殼後124,928 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
命名對照: AVG[Trojan horse PSW.Generic3.JJH]
BitDefender [Generic.Malware.SFMB.016087BB]
DrWeb[Trojan.PWS.Gamania]
ClamAV[Trojan.Spy-1478]

行為分析

1 、 衍生下列副本與檔案:
% Program Files%\Internet Explorer\Connection Wizard\isignup.dll
% Program Files%\Internet Explorer\Connection Wizard\isignup.sys dl.bitsCN.com網管軟體下載
2 、 新建註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32\@
Value: String: "C:\Program Files\Internet Explorer\ConnectionWizard\isignup.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32\ThreadingModel
Value: String: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
Value: String: ""
HKEY_CURRENT_USER\Software\Microsoft\qqjdd\DL
Value: String: "2"
3 、 病毒可通過下列方式傳送:
SMTP
ASP 頁面
Php 頁面
4 、病毒可選傳送信息:
購物券數量、地理位置及 IP 、是否有 Q 幣、立即刪除自身、
blog.bitsCN.com網管部落格等你來搏
首次運行(可填寫)秒後關閉 QQ
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 使用安天盾防火牆控制網路 ( 推薦 )
3 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32\@
Value: String: "C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32\ThreadingModeldl.bitsCN.com網管軟體下載
Value: String: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
Value: String: ""
HKEY_CURRENT_USER\Software\Microsoft\qqjdd\DLValue: String: "2"
(2) 重新啟動計算機
(3) 刪除病毒釋放檔案:
% Program Files%\Internet Explorer\Connection Wizard\isignup.dll
% Program Files%\Internet Explorer\Connection Wizard\isignup.sys

相關詞條

熱門詞條

聯絡我們