一種木馬,盜竊QQ賬號,運行後,複製自身到%Program Files%\Internet Explorer\PLUGINS目錄下,並重命名為UnixSys32.Jmp,並在該目錄下衍生含有隱藏屬性的病毒檔案UnixSys08.Sys;新建註冊表項,創建CLSID值,添加HOOK項,以達到當系統啟動的時候利用Explorer.exe進程載入UnixSys08.Sys;瀏覽器劫持,添加註冊表BHO項,用來當IE運行時載入UnixSys08.Sys;並試圖通過全局掛鈎把UnixSys08.Sys注入到所有進程中,通過截獲當前用戶的鍵盤和滑鼠訊息以獲取QQ的賬號及密碼,傳送到病毒作者指定的URL;該病毒實現完自身代碼後,會結束自身進程。
基本介紹
- 中文名:Trojan.PSW.Win32.QQPass.cdw
- 病毒類型:木馬
- 公開範圍:完全公開
- 危害等級:3
病標籤,行為分析,清除方案,
病標籤
病毒名稱: Trojan-PW.Win32.QQPass.cdw
檔案 MD5: 9527A14F4190E49EC31E601295A5717C
檔案長度:加殼後30,840 位元組 脫殼後104,056位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
行為分析
本地行為:
1、檔案運行後會釋放以下檔案:
%Program Files%\Internet Explorer
\PLUGINS\UnixSys08.Sys 44,664 位元組
%Program Files%\Internet Explorer
\PLUGINS\UnixSys32.Jmp 30,840位元組
2、新增註冊表:
[HKEY_CURRENT_USER\Software\Tencent\Unix]
註冊表值: "Eo9"
類型: REG_SZ
字元串: "kk"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{74381DEC-D78B-43E4-BA5D-5244F669EBE4}
\InProcServer32]
註冊表值: "@ "
類型: REG_SZ
字元串: "C:\Program Files\Internet Explorer
\PLUGINS\UnixSys08.Sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{74381DEC-D78B-43E4-BA5D-5244F669EBE4}
\InProcServer32]
註冊表值: "ThreadingModel"
類型: REG_SZ
字元串: "Apartment"
描述:註冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\ShellExecuteHooks]
註冊表值: "{74381DEC-D78B-43E4-BA5D-5244F669EBE4}"
類型: REG_SZ
字元串: ""
描述: 以達到當系統啟動的時候利用Explorer.exe
進程載入UnixSys08.Sys
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Browser Helper Objects]
註冊表值: "{74381DEC-D78B-43E4-BA5D-5244F669EBE4}"
類型: REG_SZ
字元串: ""
描述:添加病毒檔案fjOs0r.dll至瀏覽器輔助對象BHO,
以到達在用戶啟動IE時載入UnixSys08.Sys
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL卸載注入到相關進程的UnixSys08.Sys。
具體操作如下:
打開ATOOL→工具選單→搜尋處置DLL項→輸入UnixSys08.Sys,點擊查找→點擊卸載,當出現“您是否要卸載含有unixsys08.sys的被載入運行的所有dll檔案”時,選“是(Y)”即可。
(2)刪除病毒衍生的檔案:
%Program Files%\Internet Explorer
\PLUGINS\UnixSys08.Sys
%Program Files%\Internet Explorer
\PLUGINS\UnixSys32.Jmp
(3)刪除病毒添加的註冊表項 :
刪除[HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\CLSID]下的{74381DEC-D78B-
43E4-BA5D-5244F669EBE4}子鍵
刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Browser Helper Objects]下的
{74381DEC-D78B-43E4-BA5D-5244F669EBE4}子鍵
刪除[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks]下的
{74381DEC-D78B-43E4-BA5D-5244F669EBE4}值
刪除[HKEY_CURRENT_USER\Software\Tencent]下的UNIX子鍵
