危险等级:★★★
病毒名称:Trojan.PSW.Win32.QQPass.yvr
截获时间:2007-10-25
入库版本:19.46.31
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:低
全球化传播态势:低
破坏力:低
清除难度:中
破坏手段:窃取密码
该程序为VC编写的盗取用户QQ密码的木马程序,程序运行后执行如下操作:
1.尝试创建类名为sun的窗口接收窗口消息;
2.创建一名称为FirstName的互斥量,防止实例重复运行。若互斥量已经存在,则结束进程自身;
3.获取系统目录,并释放名下列文件到系统目录下:
sysnewdll.exe
sysnewgui.exe
sysnewmsg.gif
newautorun.inf
4.枚举进程,获取explorer.exe进程句柄;
5.在该进程中创建远程线程,加载sysnewdll.exe执行。
动态库sysnewdll.exe行为:
1.获取模块句柄,注册窗口类sun并创建该类名的窗口;在其窗口过程中执行如下操作:若消息为WM_CREATE,则设置时间间隔为100ms和1500ms的定时器。
2.若消息为WM_QUERYENDSESSION(结束会话),则拷贝自身到%SysDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup下命名为winstarter.exe。设置注册表项HKLM\SOFTWARE\Microsoft\windows\currentversion\run实现自启动
3.若消息时WM_TIMER,则执行如下操作:
从D:开始到Z:依次尝试获取磁盘类型,并判定是否为可移动磁盘;
若为可移动磁盘,则尝试在其根目录下创建文件拷贝,命名为newumsg.exe并设置隐藏属性;拷贝newautorun.inf文件为autorun.inf以实现自启动传播;
若定时消息为100ms的定时器,则执行如下操作:
获取背景窗口标题并查找该窗口中的组合框窗口;
若窗口标题中包含”QQ用户登录”则隐藏该窗口,获取该窗口的进程ID并关闭,执行系统目录下的sysnewgui.exe;
尝试访问系统目录下的文件,若存在则获取背景窗口,查找子窗口中窗口名为”Tencent_QQBar”的窗口;
若找到该窗口,则读取systempinfor.txt文件中记录的信息向http://hack95.45.7data.com/admin/qq/lmqq/IP.asp提交。
获取系统目录,创建sysoncemsg.txt记录日志;
创建线程;该线程枚举进程获取qq.exe进程ID并关闭该进程,并向sysoncemsg.txt写入信息;
进入消息循环,接收窗口消息.
sysnewgui.exe行为:
创建一对话框,在窗口消息处理函数中执行如下操作,判定消息类型,执行对应操作:
获取显示器分辩率,移动对话框到显示器中间,加载图标,向窗口发送WM_SETICON设置对话框大图标;
尝试打开%SysDir%\systheoldmsg.txt读取一行字符串并将其设置为对话框窗口名称;
设置窗口消息钩子,在钩子函数中将消息发送到对话框窗口并传递消息到下一个钩子.
读取注册表SOFTWARE\Tencent\PlatForm_Type_List\1键下TypePath项值,获取qq安装目录,之后删除qq安装目录下QQDoctor\QQDoctor.exe
WM_PAINT
加载%SysDir%\sysnewmsg.gif,将其绘制对话框背景
WM_CHAR
分别获取qq号码窗口和qq密码窗口的字符串,写入到%SysDir%\systempinfor.txt
WM_DESTROY
卸载窗口消息钩子
WM_CLOSE
销毁对话框
其他消息:
获取鼠标位置,判定是否点击登陆和忘记密码
点击登陆,则根据注册表查询的qq安装目录使用参数:
%QQ Path% /START QQUIN:%QQ号码% PWDHASH:%QQ密码加密后序列%
来登陆原始QQ
点击申请号码,则启动如下参数程序:
explorer.exe http://freeqqm.qq.com/
点击忘记密码,则启动如下参数程序:
explorer.exe https://account.qq.com/cgi-bin/auth_forget
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.46.31版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
0 responses so far ↓
There are no comments yet...Kick things off by filling out the form below.
Leave a Comment