QQ盜號木馬
Trojan.Win32.Agent.bfrt
捕獲時間
2010-10-19
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的“盜號木馬”,由微點(diǎn)主動防御軟件自動捕獲,長度為“323,584”字節(jié)���,圖標(biāo)為“
”���,使用“exe”擴(kuò)展名�,通過文件捆綁��、網(wǎng)頁掛馬��、下載器下載等方式進(jìn)行傳播�����。病毒主要目的是盜取用戶QQ帳戶密碼信息。
當(dāng)用戶計算機(jī)感染此木馬病毒后, 會出QQ登陸出現(xiàn)異常����,帳戶密碼被盜��,并且發(fā)現(xiàn)未知進(jìn)程等現(xiàn)象.
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬��、下載器下載
防范措施
已安裝使用微點(diǎn)主動防御軟件的用戶���,無須任何設(shè)置���,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�。無論您是否已經(jīng)升級到最新版本��,微點(diǎn)主動防御都能夠有效清除該病毒����。如果您沒有將微點(diǎn)主動防御軟件升級到最新版�,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本��,微點(diǎn)將報警提示您發(fā)現(xiàn)木馬"Trojan.Win32.Agent.bfrt”���,請直接選擇刪除(如圖2)���。
圖2 微點(diǎn)主動防御軟件升級后截獲已知病毒
未安裝微點(diǎn)主動防御軟件的手動解決辦法:
手動刪除文件
1.刪除 %SystemDriver%\1.jpg
2.刪除 %SystemDriver%\1.txt
3.刪除 %ProgramFiles%\Internet Explorer\IEXPLOPE.EXE
4 . 刪除 %Documents and Settings%\當(dāng)前用戶\「開始」菜單\程序\啟動\ 360安全衛(wèi)士升級補(bǔ)丁.lnk
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)��,通常為“C:\”
%SystemRoot% WINDODWS所在目錄����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄����,通常為:“C:\ProgramFiles”
病毒分析:
1.病毒首先獲得邏輯磁盤的目錄,在該目錄下創(chuàng)建文件“C:\1.jpg”.
2.病毒將自己用拷貝的方式并重新命名為“C:\1.txt”�����,然后打開rundll32.exe文件��,啟動進(jìn)程“rundll32.exe C:\WINDOWS\system32\shimgvw.dll Imageview_Fullscreen C:\1.jpg”,
3.病毒將自己用拷貝的方式并重新命名為“C:\Program Files\Internet Explorer\IEXPLOPE.EXE”,然后加載“LinkInfo.DLL” 病毒建立遠(yuǎn)程線程,遍歷QQ.exe文件�,建立鍵盤和鼠標(biāo)鉤子���,將用戶的QQ密碼"&QQPassWord="��, QQ號"?QQNumber="發(fā)送到黑客指定的網(wǎng)絡(luò)地址。
4.病毒創(chuàng)建快捷方式“C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\啟動\ 360安全衛(wèi)士升級補(bǔ)丁.lnk”
5.病毒將"C:\Program Files\Internet Explorer\IEXPLOPE.EXE.txt"文件移動并重新命名為“C:\Program Files\Internet Explorer\IEXPLOPE.EXE”����,以到底欺騙用戶點(diǎn)擊的目的���。
病毒創(chuàng)建文件:
%SystemDriver%\1.jpg
%SystemDriver%\1.txt
%ProgramFiles%\Internet Explorer\IEXPLOPE.EXE
%Documents and Settings%\當(dāng)前用戶\「開始」菜單\程序\啟動\ 360安全衛(wèi)士升級補(bǔ)丁.lnk
病毒訪問網(wǎng)絡(luò):
http://web0622155.w201.d******.com/b12/mail.asp
