盜號木馬
Trojan-PSW.Win32.Delf.ixw
捕獲時間
2009-8-13
危害等級
高
病毒癥狀
該樣本是使用“Delphi”編寫的盜號木馬�,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式��,企圖躲避特征碼掃描,加殼后長度為“45,056 字節”,圖標為“
”���,病毒擴展名為“exe”,主要通過“文件捆綁”�、“下載器下載”、“網頁掛馬”等方式傳播�����,病毒主要目的為盜取用戶虛擬財產,下載新病毒并執行��。
用戶中毒后,會出現關機時提示QQJDDEXE沒有響應、系統運行緩慢、網絡速度降低�、虛擬財產無故被盜����、出現大量未知進程等現象�����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬��、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒�。如果您沒有將微點主動防御軟件升級到最新版�,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�����,微點將報警提示您發現"Trojan-PSW.Win32.Delf.ixw”���,請直接選擇刪除(如圖2)�����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
2���、手動刪除以下注冊表值:
鍵:HKEY_CLASSES_ROOT\CLsID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
鍵:HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\
shellexecutehooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\qqjdd
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄���,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄�,通常為:“C:\ProgramFiles”
病毒分析
(1)病毒將自身重命名復制到%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll,設置該文件屬性為隱藏��。
(2)釋放動態鏈接庫%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys����。
(3)查找名為"qqjddExe"的窗口�,判斷木馬是否運行,若沒找到,繼續查找名為"qqjddDll"的窗口,判斷木馬Dll是否被卸載。如果都沒找到����,表示木馬未運行,開始加載isignup.sys����。
(4)通過修改注冊表和安裝鉤子的方式���,將病毒代碼注入到目標進程中,監控用戶鍵盤輸入���,盜取用戶敏感和隱私信息���,并且會嘗試盜取大多數流行網絡游戲的帳號密碼���。病毒會內建一個SMTP服務器,將盜取的資料發送到病毒作者指定的郵箱和網址���,之后從指定網址下載新病毒到本地機器運行�����。
(5)在病毒主程序目錄下創建批處理_xiaran.bat并執行,刪除病毒自身。完成之后,刪除_xiaran.bat��。
病毒創建文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
X:\_xiaran.bat (X為病毒主程序所在盤符)
病毒刪除文件:
X:\_xiaran.bat (X為病毒主程序所在盤符)
病毒創建注冊表:
HKEY_CLASSES_ROOT\CLsID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\qqjdd
病毒訪問網絡:
http://www.***.org/vv.asp
http://www.***.org/vv.php
http://www.***.org/down1.exe
http://www.***.org/down2.exe
Liu***bin9@163.com (病毒作者郵箱)
