捕獲時(shí)間
2008-10-28
病毒摘要
該樣本是使用“Delphi”編寫的“QQ盜號程序”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為 26,376 字節(jié),圖標(biāo)為
,病毒擴(kuò)展名為“exe”,通過“網(wǎng)頁木馬”、“下載器下載”等途徑植入用戶計(jì)算機(jī),運(yùn)行后伺機(jī)盜取“QQ”的“帳號”和“密碼”。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、下載器下載、文件捆綁
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動(dòng)防御自動(dòng)捕獲未知病毒(未升級)
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan-PSW.Win32.QQPass.lqq”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點(diǎn)主動(dòng)防御軟件的用戶,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫升級到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。
病毒分析
該樣本被執(zhí)行后,刪除系統(tǒng)目錄“%SystemRoot%\system32”下的文件 “verclsid.exe”;釋放動(dòng)態(tài)鏈接庫文件“qqmmck.vxd”,并修改如下注冊表使進(jìn)程“explorer.exe”以及由其啟動(dòng)的進(jìn)程自動(dòng)加載此文件。
相關(guān)注冊表鍵值如下:
| |
項(xiàng):HKEY_CLASSES_ROOT\CLSID\{92B2E816-2CEF-4345-8758-7699C7C9935F}\InProcServer32
指向數(shù)據(jù):\%systemroot%\System32\qqmmck.vxd
項(xiàng):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
鍵值:{92B2E816-2CEF-4345-8758-7699C7C9935F}
指向數(shù)據(jù)為空 |
|
動(dòng)態(tài)庫“qqmmck.vxd”被加載執(zhí)行后,遍歷進(jìn)程查找“QQ.exe”將其強(qiáng)行關(guān)閉,迫使用戶再次輸入登陸信息;查詢QQ安裝路徑嘗試刪除QQDoctor文件夾下的QQDoctor.exe使QQ醫(yī)生失效;當(dāng)用戶再次登錄QQ時(shí),病毒將使用自身攜帶的圖片資源替換QQ密碼輸入窗口,偽造密碼輸入框,通過設(shè)置鼠標(biāo)鍵盤鉤子來獲取用戶輸入的信息,將其保存在“%SystemRoot%\system32\QQNumber.ini”中,在用戶點(diǎn)擊“登陸”按鈕的同時(shí),病毒將利用盜取的信息構(gòu)造命令行登陸QQ,使QQ正常登陸以此欺騙用戶。檢測聯(lián)網(wǎng)情況,若檢測通過則以空間收信方式將用戶QQ號碼及密碼上傳至:http ://www.hac**78.cn/wwwroot/qq.asp。
