TrojanSpy.win32.QQTail.F

一、綜述：

病毒名稱： 小燕病毒

檔案長度： 解壓前： 14,336 位元組，解壓後 : 34,304 位元組

感染系統： Windows所有版本(win3.x除外)

編寫語言： Borland C++ Builder 6.0

加殼類型： UPX

2、說明：

該病毒是利用 MS04025漏洞的傳播的郵件蠕蟲,竊取用戶網上銀行信息。首先郵件內是一個MHT檔案，檔案內容分為三段、一段顯示內置的JPG照片，一段解碼，最後一段是EXE執行體，在沒有打補丁的系統上運行後，會釋放出來4個檔案 help.htm help.js test.exe TEST.TXT 通過，釋放出來的4檔案會在.EXE執行後被刪除。test.exe為C++語言編寫， Borland C++ 編譯 .運行條件中需要borlndmm.dll、 cc3260mt.dll、 rtl60.dll、 stlpmt45.dll 、rtl60.bpl.等檔案。但因運行庫問題，這個檔案在大多數系統上是無法正常運行的。即使檔案齊全，它修改的Clipsrv服務也無法正常啟動。在一定程度上降低了病毒傳播的速度。

二、 代碼分析

1. 關閉 Clipsrv 服務， Clipsrv 是“剪貼簿查看器”儲存信息並與遠程計算機共享。

2. 拷貝自身到系統目錄下 .

3. 替換 ClipSrv 服務，設定其指向自身檔案： C1ipsrv.exe, 以字母 l 和數字 1 混淆逃避檢測

4: 提升自身許可權

5: 採用遠程執行緒注入方式，使查殺困難。

6: 病毒體那存在傳送郵件的定義字元串，但沒有相關傳送郵件函式 . 另外關於網路的函式也只有接口還沒有相關代碼。推測，這個病毒還沒有完成。