“QQ密碼大盜”
Trojan-PSW.Win32.QQPass.oje
捕獲時(shí)間
2009-10-22
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC”編寫的盜號(hào)木馬,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲�����,采用“FSG 2.0”加殼方式,企圖躲避特征碼掃描�����,加殼后長(zhǎng)度為“57,461 字節(jié)”,圖標(biāo)為“
”�����,病毒擴(kuò)展名為“exe”�,主要通過“文件捆綁”、“下載器下載”����、“網(wǎng)頁(yè)掛馬”等方式傳播�,病毒主要目的為盜取“QQ 2009”帳號(hào)密碼���。
用戶中毒后����,會(huì)出現(xiàn)網(wǎng)絡(luò)速度降低,運(yùn)行QQ后系統(tǒng)運(yùn)行緩慢,“QQ 2009”無(wú)故退出�����,QQ號(hào)被盜等現(xiàn)象�。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Vista
傳播途徑
網(wǎng)頁(yè)木馬���、文件捆綁��、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶�����,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞���。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒�����。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版���,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”�����,請(qǐng)直接選擇刪除處理(如圖1)��;
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan-PSW.Win32.QQPass.oje”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1�����、手動(dòng)刪除以下文件:
%SystemRoot%\system32\wmitpfs.dll
2��、手動(dòng)刪除以下注冊(cè)表值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄����,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)判斷自身是否為%SystemRoot%\explorer.exe,如果是��,則執(zhí)行explorer.exe��。
(2)初始化Native Unicode字符串"\BaseNamedObjects\6953EA60-8D5F-4529-8710-42F8ED3E8CDA",獲取當(dāng)前進(jìn)程列表�����,查找進(jìn)程
"avp.exe"是否存在�,如果找到,調(diào)用DuplicateHandle函數(shù)復(fù)制該進(jìn)程句柄,然后通過創(chuàng)建事件對(duì)象,更換進(jìn)程令牌�,并且枚舉
系統(tǒng)句柄表把a(bǔ)vp.exe的運(yùn)行環(huán)境破壞掉,達(dá)到終止其進(jìn)程目的。
(3)提升自身進(jìn)程權(quán)限�����,創(chuàng)建進(jìn)程命名管道���,分別為:\\.\pipe\TNTH7l38CH41SYSSVC_PIPE���、\\.\pipe\QQH7l38CH41_SYSTEM_SVC_PIPE���、
\\.\pipe\THH417l_PNTI8CSPE3YSSVC,實(shí)現(xiàn)進(jìn)程簡(jiǎn)數(shù)據(jù)共享����。
(4)釋放動(dòng)態(tài)鏈接庫(kù)%SystemRoot%\system32\wmitpfs.dll,并創(chuàng)建名為"wmitpfs"的服務(wù),通過該服務(wù)加載wmitpfs.dll����。
(5)獲得進(jìn)程快照,查找"QQ 2009"進(jìn)程是否存在����,如果找到�����,終止該進(jìn)程,并將%SystemRoot%\system32\wmitpfs.dll注入到
%SystemRoot%\explorer.exe進(jìn)程��。
(6)監(jiān)視"QQ 2009"登錄框的帳號(hào)��、密碼輸入及按鈕事件���,將獲得的帳號(hào)密碼加密后發(fā)送到黑客指定網(wǎng)址��,完成QQ號(hào)的盜取。
(7)釋放批處理文件%TEMP%\0.bat并執(zhí)行�����,刪除自身和0.bat��,退出進(jìn)程�。
病毒創(chuàng)建文件:
%SystemRoot%\system32\wmitpfs.dll
%TEMP%\0.bat
病毒刪除文件:
%TEMP%\0.bat
病毒創(chuàng)建注冊(cè)表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
