主题 : 6月25日病毒预报--QQ盗号木马Trojan-PSW.Win32.QQPass.khd
喝水都长膘
级别: 正式版主

显示用户信息
0  发表于: 2008-06-24 22:36

6月25日病毒预报--QQ盗号木马Trojan-PSW.Win32.QQPass.khd

病毒名称
Trojan-PSW.Win32.QQPass.khd
捕获时间
2008-06-24
病毒摘要
    该样本是使用VC编写的EXE程序,由微点主动防御软件自动捕获,采用Upack方式加壳,长度为31,331字节,图标为

,病毒扩展名为exe。病毒主要用于盗取“QQ” 帐号密码
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马,网络传播
安全提示
  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”,请直接选择删除处理(如图1);

  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-PSW.Win32.QQPass.khd”,请直接选择删除(如图2)。

  对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

病毒分析
病毒主程序

该主程序创建并运行文件%Temp%\photos02.jpg(照片文件)
创建文件:C:\Program Files\Internet Explorer\Connection Wizard\xiaran.vxd(DLL动态联接库文件)
文件创建成功,创建注册表,开机自启动文件xiaran.vxd :
  Quote:
项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
子键:{02315C1A-9BA9-4B7C-A432-29995F78DF28}
键值:0
项:
HKEY_CLASSES_ROOT\CLSID\{02315C1A-9BA9-4B7C-A432-29995F78DF28}
键值:0
项:
HKEY_CLASSES_ROOT\CLSID\{02315C1A-9BA9-4B7C-A432-29995F78DF28}\InProcServer32
键值:C:\Program Files\Internet Explorer\Connection Wizard\xiaran.vxd
项:
HKEY_CLASSES_ROOT\CLSID\{02315C1A-9BA9-4B7C-A432-29995F78DF28}\InProcServer32
子键:ThreadingModel
键值:Apartment
然后使用函数SetWindowsHookExA进行全局挂钩,把xiaran.vxd注入到每一个进程中
xiaran.vxd(DLL动态库)行为:
当自身注入到进程 explorer.exe中,进行如下动作:
使用API函数URLDownloadToFileA
http://www.***.com/test1.exe下载病毒到
C:\DOCUME~1\Bryce\LOCALS~1\Temp\~Tm2.tmp.exe
然后运行C:\DOCUME~1\Bryce\LOCALS~1\Temp\~Tm2.tmp.exe
http://www.cha***8.com/hm.txt下载病毒到
C:\DOCUME~1\Bryce\LOCALS~1\Temp\~Tm13.tmp.exe
然后运行C:\DOCUME~1\Bryce\LOCALS~1\Temp\~Tm13.tmp.exe
当自身注入到进程 QQ.exe中,进行如下动作:
删除QQ目录下的npkcrypt.sys文件,然后加载文件LoginCtrl.dll,破坏QQ的键盘加密锁
使用函数SetWindowsHookExA建立键盘钩子,盗取QQ帐号密码,通过邮件发给盗号者