基本介紹
- 中文名:Win32.Troj.QQRob.zp
- 處理時間:2006-08-18
- 病毒類型:木馬
- 影響系統:Win 9x/ME,Win 2000/NT,W
基本信息,傳播過程,
基本信息
產品版本:5.1.2600.0
產品名稱:Microsoft? Windows? Operating System
公司:Microsoft Corporation
內部名稱:wdm
檔案版本:5.1.2600.0
語言:中文(中國)
源檔案名稱:wdm.exe
描述:Microsoft Wdm Control
著作權:? Microsoft Corporation. All rights reserved.
傳播過程
1、生成的檔案
%SystemRoot%\system32\Drivers\ksld.sys
%Program Files%\Tencent\QQ\TIMPlatfrom.exe
%SystemRoot%\system32\wdm.exe
2、添加註冊表啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"KernelFaultCheck" = "%SystemRoot%\system32\wdm.exe"
3、該病毒運行時會吧QQ目錄下TIMPlatform.exe檔案TIMPlatfrom.exe,
然後將自身複製到該目錄,命名為TIMPlatform.exe,並設定屬性為隱藏,
這樣在運行QQ程式的同時病毒也運行起來。
4、該病毒修改exe檔案關聯。
5、該病毒運行時會嘗試結束以下程式
SERVICES.EXE
SMSS.EXE
CSRSS.EXE
WINLOGON.EXE
LSASS.EXE
SVCHOST.EXE
TIMPLATFORM.EXE
RUNDLL32.EXE
6、該病毒為了避免防毒軟體查殺,採用名稱加密,動態獲取一些驅動級的Native API進行免殺。
7、該病毒使用了兩個不同的加密算法保存加密信息,其中一處經過簡單加密保存了一些加密信息,
主要算法是加密字元串逐個位元組與0xC8做異或運算。下面是解密後的信息:
"\\Drivers\\ksld.sys"
"RtlInitUnicodeString"
"ZwSetSystemInformation"
"ZwQuerySystemInformation"
"KeServiceDescriptorTable"
"SERVICES.EXE,SMSS.EXE,CSRSS.EXE,WINLOGON.EXE,LSASS.EXE,SVCHOST.EXE,ALG.EXE,TIMPLATFORM.EXE,RUNDLL32.EXE"
"SOFTWARE\\TENCENT\\PLATFORM_TYPE_LIST\\1"
"TIMPlatform.exe"
"exefile\\shell\\open\\command"
"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion"
8、該病毒運行後會刪除原病毒檔案。
