間諜程序
Trojan-Spy.Win32.QQLogger.ga
捕獲時間
2010-3-26
危害等級
中
病毒癥狀
該樣本是使用“VC /C”編寫的“間諜程序”,由微點主動防御軟件自動捕獲,長度為“368,640”字節,圖標為“
”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載,移動存儲介質等方式進行傳播。病毒主要目的是盜取用戶信息。
用戶中毒后會出現網絡運行緩慢,安全軟件無故關閉,系統無故報錯,重要信息資料丟失等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“RootKit程序“,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Spy.Win32.QQLogger.ga”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件
%SystemRoot%\SYSTEM\MSSETUP.TSK
%SystemRoot%\SYSTEM\WINDNSAPI.IME
%SystemRoot%\SYSTEM\MSSYSTEM.DRV
%SystemRoot%\SYSTEM\MSAPI.DRV
%Temp%\CvXw.lcp
2.手動刪除以下注冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem
數據:ImagePath
值: \??\C:\WINDOWS\system\MSSYSTEM.DRV
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1,創建互斥體"setup_fat32sys",判斷用戶操作系統類型并記錄相關信息到注冊表。
2,在%temp%目錄釋放下列病毒文件“MSAPI.DRV”,“MSSYSTEM.DRV”“WINDNSAPI.IME”“MSSETUP.TSK”隨后將這些文件都復制到%SystemRoot%\system目錄下并刪除%temp%目錄下的病毒文件。并將自身移動到%temp%目錄下,設置在下次重啟后刪除。
3,打開服務管理器創建服務,以服務方式加載啟動“MSSYSTEM.DRV”,創建注冊表項實現自啟動
4,查找安全軟件服務項試圖關閉,并注入到系統運行的進程中。。獲取用戶機器網卡硬盤以及操作系統等信息。并將相關信息保存獲取用戶即時聊天軟件,郵箱帳戶如MSN,QQ以及Outlook中的密碼信息,查找用戶QQ聊天記錄信息,并會截獲用戶的聊天信息。將收集被感染機器用戶大量信息保存并發送到指定網絡地址。
病毒創建文件:
%SystemRoot%\SYSTEM\MSSETUP.TSK
%SystemRoot%\SYSTEM\WINDNSAPI.IME
%SystemRoot%\SYSTEM\MSSYSTEM.DRV
%SystemRoot%\SYSTEM\MSAPI.DRV
%Temp%\CvXw.lcp
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem
數據:ImagePath
值:\??\C:\WINDOWS\system\MSSYSTEM.DRV
病毒刪除文件:
%Temp%\CvXw.lcp
