最近流行的"我的照片.Exe"(Trojan-PSW.Win32.QQPass.ban)简单分析和查杀
作者:Westbeck
最近一段时间,一个QQ尾巴新变种开始活跃,在QQ上收到了挺多这样的信息,现对这个病毒分析如下:
病毒名称:Trojan-PSW.Win32.QQPass.ban(Kaspersky)
病毒别名:Worm.Win32.PaBug.p(Rising)
病毒大小:34000 bytes
加壳方式:UPX
样本MD5:68b7e9b1278731c0b7bde0c7f1fdcb59
样本SHA1:9f8b7c526d49656fdbeb2a421f674c6022988bfc
编写语言:Borland Delphi 6.0 - 7.0
传播方式:QQ,网络
病毒描述:
该病毒是QQ的盗号木马。病毒运行后复制自身至Program Files\Internet Explorer\PLUGINS文件夹,释放病毒文件,并创建注册表启动项以自启动。病毒注入系统Explorer.exe进程,通过读取内存的方式盗取用户QQ帐号、密码,发送至黑客指定的邮箱。还会下载其他病毒。
行为分析:
1,生成文件
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
2,如果病毒运行发现WinSys64.sys已经存在则生成WinSys64.Tao文件
3,WinSys64.Sys文件注入系统Explorer.exe进程
4,创建ShellExecuteHooks,随机启动:
HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32
@="C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"
{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}"="C:\ProgramFiles\Internet Explorer\PLUGINS\WinSys64.Sys"
5,生成其他注册表项:
HKEY_CURRENT_USER\Software\Tencents
HKEY_CURRENT_USER\Software\Tencent\Gm
6,病毒会判断E:\\分区,释放AutoRun.exe和AutoRun.inf
AutoRun.inf内容:
[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\打开(&O)\command=AutoRun.exe
7,病毒会下载其他病毒:
http://www.nmuift.cn/11/1.exe
http://www.nmuift.cn/11/2.exe
http://www.nmuift.cn/11/3.exe
http://www.nmuift.cn/11/4.exe
http://www.nmuift.cn/11/my.exe
http://www.nmuift.cn/11/zx.exe
http://www.nmuift.cn/11/zt.exe
http://www.nmuift.cn/11/tl.exe
http://www.nmuift.cn/11/wd.exe
http://www.nmuift.cn/11/wl.exe
http://www.nmuift.cn/11/wmgj.exe
http://www.nmuift.cn/11/qjsj.exe
http://www.nmuift.cn/11/mh.exe
http://www.nmuift.cn/11/jh.exe
http://www.nmuift.cn/11/hx2.exe
http://www.nmuift.cn/11/wow.exe
http://www.nmuift.cn/11/qqhx.exe
8,病毒会登录以下网络地址获得计算机的IP地址:
http://www.ip138.com/
9,病毒还会伪装QQ登陆错误的提示,让用户重新输入密码,以盗取QQ密码,发送到黑客指定的邮箱
10,向QQ好友发送以下附带病毒地址的消息:
www.<域名>.cn/<3位数字组合>.rar这里有我的照片帮我顶下记得回复我哦点击就可下载
手动专杀方案:
1,删除以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32
@="C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
"{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}"="C:\ProgramFiles\Internet Explorer\PLUGINS\WinSys64.Sys"
HKEY_CURRENT_USER\Software\Tencents
2,重新启动计算机
3,删除以下文件:
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
4,通过右键--资源管理器进入E盘根目录下,删除以下文件:
E:\AutoRun.exe
E:\AutoRun.inf
5,重装QQ,修改QQ密码,以防QQ被盗
【病毒方向标】友情提醒:
1,目前主流杀毒软件目前基本可以检测这个系列的变种,广大网友可以升级到最新病毒库来防范。
2,在QQ上收到类似以下话语时提高警惕,请勿接收:
www.{域名}.cn/{3位数字组合}.rar这里有我的照片帮我顶下记得回复我哦点击就可下载
3,建议广大网友通过修改HOSTS文件对以下域名进行屏蔽:
gmalkg.cn
yyhhuj.cn
txdaobi.cn
hjyuhf.com.cn
方法如下:
打开Hosts,它的位置在:
C:\Widows\System32\Drvers\Etc
是个未知格式的文件,没有扩展名的,双击打开,选择为记事本方式运行:
然后添加如下内容:
最后关闭,选是就可以保存了。
