QQ鬼手
Trojan-PSW.Win32.Delf.jal
捕獲時間
2011-01-30
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的“游戲盜號”,由微點主動防御軟件自動捕獲, 采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“37,003”字節(jié),圖標為“
”,使用“exe”擴展名,通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進行傳播。病毒主要目的是盜取QQ 游戲的用戶密碼及帳號信息。
當用戶計算機感染此木馬病毒后,用戶的賬戶信息丟失,并且發(fā)現(xiàn)大量未知進程等現(xiàn)象.
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“可疑程序”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Trojan-PSW.Win32.Delf.jal”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
手動刪除文件
1. 手動刪除%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\MrSoft.bak文件
2. 手動刪除%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\MrSoft.sys文件
3. 刪除源病毒樣本
4. 刪除注冊資源管理器插件CLSID:
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
名稱:默認
數(shù)據(jù):C:\Program Files\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
5. 刪除注冊表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
鍵值:{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.病毒首先對自身進行讀取信息,通過字符串的解密算法解密出訪問的網(wǎng)絡(luò)已經(jīng)黑客的收信地址空間。
2.病毒判斷是否收信成功,如果成功,病毒直接退出程序。如果不成功,病毒進行操作。
3.病毒讀取文件信息,獲得病毒的版本號。如果正確獲取到,病毒獲取該自身的存放路徑,將自己重新命名為:"wininit.ini",進一步偽裝成用戶電腦的配置文件。
4.如果沒有正確獲取到,病毒通過將自身移動并重新命名文件為NULL。
5.病毒獲取C:\Program Files\Common Files\Microsoft Shared\MSInfo目錄下的路徑,如果該目錄下存在MrSoft.bak文件,先把該文件刪除之。如果沒有在該目錄下創(chuàng)建C:\Program Files\Common Files\Microsoft Shared\MSInfo\MrSoft.bak文件,并對該文件設(shè)置系統(tǒng)隱藏屬性并進行加之。病毒以“MsgHookOn”和“MsgHookOff”為參數(shù),建立鍵盤和鼠標消息鉤子,監(jiān)控用戶信息,并卸載消息鉤子。
6.如果該目錄下存在MrSoft.sys文件,先把該文件刪除之。如果沒有在該目錄下C:\Program Files\Common Files\Microsoft Shared\MSInfo\MrSoft.bak文件,移動并重新命名為C:\Program Files\Common Files\Microsoft Shared\MSInfo\MrSoft.sys文件并對該文件設(shè)置系統(tǒng)隱藏屬性并進行加之。
7.動態(tài)庫文件“MrSoft.sys”被加載執(zhí)行后,查找進程“QQ.exe”,找到后將嘗試刪除“QQ.exe”所在目錄下的“npkcrypt.sys”,企圖破壞QQ自身密碼保護機制,發(fā)現(xiàn)“QQ.exe”進程后,將于數(shù)秒后關(guān)閉QQ,企圖迫使用戶再次輸入登陸信息;當用戶再次登錄QQ時,通過監(jiān)視QQ登陸窗口各控件,獲取其鍵盤消息,獲得用戶輸入的QQ號碼、密碼信息。利用獲取后的QQ號碼以及密碼信息訪問:
http ://pay***.qq.com/****/mypurse?clientuin=
8.嘗試獲取用戶QQ號碼所攜帶的“Q幣”“游戲幣”等信息,最終病毒將以郵箱收信及空間收信方式將用戶QQ信息上傳至黑客指定地址。
9.病毒創(chuàng)建注冊表信息:
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
名稱:默認
數(shù)據(jù):C:\Program Files\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
鍵值:{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
病毒創(chuàng)建文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\MrSoft.bak
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
病毒訪問網(wǎng)絡(luò):
http://www.****.com/qq/out.asp
http://****.qq.com/clienturl_151
http://****.qq.com/clienturl_156
http ://pay***.qq.com/****/mypurse?clientuin=
病毒創(chuàng)建注冊表:
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
名稱:默認
數(shù)據(jù):C:\Program Files\Common Files\Microsoft Shared\MSINFO\MrSoft.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
鍵值:{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
