Worm.Win32.QQPass.e:分析信息,病毒描述,清除方案,

Worm.Win32.QQPass.e病毒為木蠕蟲類，病毒運行後複製自身到系統目錄，衍生病毒檔案。

基本介紹

中文名：Worm.Win32.QQPass.e
出處：：安天病毒分析組
病毒名稱：Worm.Win32.QQPass.e
發現時間 ：2008-02-10 10：30

分析信息,病毒描述,清除方案,

分析信息

出處：安天病毒分析組

時間：2008-02-10 10：30

病毒標籤：

病毒名稱： Worm.Win32.QQPass.e

病毒類型：蠕蟲類

檔案 MD5： 87B658111C0D2E26D04ECA66B89BE0A4

公開範圍：完全公開

危害等級： 4

檔案長度： 16,948 位元組

感染系統： Windows98以上版本

開發工具： orland Delphi 6.0 - 7.0

加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述

修改註冊表，添加啟動項，以達到隨機啟動的目的。NewTemp.dll插入EXPLORER.EXE

進程中，並以EXPLORER.EXE進程連線網路下載病毒檔案。該病毒可盜取用戶的帳

號密碼等敏感信息。

行為分析：

本地行為：

1、檔案運行後會衍生以下檔案：

%DriveLetter%\autorun.inf 　100 位元組

%DriveLetter%\PegeFile.pif 　 16,948位元組

%Program Files%\Internet Explorer

\PLUGINS\NewTemp.bak 　16,948位元組

%Program Files%\Internet Explorer

\PLUGINS\NewTemp.dll 　10,804位元組

2、新建註冊表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

\{0EA66AD2-CF26-2E23-532B-B292E22F3266}

\InProcServer32]

註冊表值："{0EA66AD2-CF26-2E23-532B-B292E22F3266}"

類型： REG_SZ

值： ""

描述：添加啟動項，以達到隨機啟動的目的

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Explorer

\ShellExecuteHooks]

註冊表值："@"

類型： REG_SZ

值： "C:\Program Files\Internet Explorer

\PLUGINS\NewTemp.dll"

描述：添加啟動項，以達到隨機啟動的目的

3、將NewTemp.dll插入到EXPLORER.EXE進程和應用程式進程中.

4、該病毒在驅動器的各個盤符下創建啟動檔案autorun.inf和該啟動檔案對應的

執行檔案，在用戶雙擊打開盤符時便會啟動病毒程式。

註： %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的

位置。

%Windir% 　　 WINDODWS所在目錄

%DriveLetter%　　邏輯驅動器根目錄

%ProgramFiles%　　　系統程式默認安裝目錄

%HomeDrive% 　當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　\Documents and Settings

\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

1 、使用安天防線2008可徹底清除此病毒

2 、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1)使用安天木馬防線或ATool中的“進程管理”關閉病毒

插入的NewTemp.dll。

(2)強行刪除病毒檔案：

%DriveLetter%\autorun.inf 100 位元組

%DriveLetter%\PegeFile.pif 16,948位元組

%Program Files%\Internet Explorer

\PLUGINS\NewTemp.bak 16,948位元組

%Program Files%\Internet Explorer

\PLUGINS\NewTemp.dll 10,804位元組

(3)恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項：

[HKEY_LOCAL_MACHINE\SOFTWARE

\Classes\CLSID\{0EA66AD2-CF26-2E23

-532B-B292E22F3266}\InProcServer32]

註冊表值："{0EA66AD2-CF26-2E23-532B-B292E22F3266}"

類型： REG_SZ

值： ""

[HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion

\Explorer\ShellExecuteHooks]

註冊表值："@"

類型： REG_SZ

值： "C:\Program Files\Internet Explorer

\PLUGINS\NewTemp.dll"

Worm.Win32.QQPass.e

基本介紹

分析信息

病毒描述

清除方案

熱門詞條