捕获时间
2009-4-5
病毒摘要
该样本是使用“delphi”编写的盗号木马,由微点主动防御软件自动捕获,采用“fsg”加壳方式,企图躲避特征码扫描,加壳后长度为“38,524 字节”,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播,病毒主要目的为盗取qq帐号密码。
用户中毒后,会出现qq无故关闭、输入用户名、密码时qq运行缓慢的现象,安全软件不能使用,本地时间被修改,安全网站无法访问等,最终将导致虚拟财产被黑客盗取。
感染对象
windows 2000/windows xp/windows 2003
传播途径
文件捆绑、下载器下载、网页木马
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-psw.win32.qqpass.mwq”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
未安装微点主动防御软件的手动解决办法:
1、手动删除以下文件:
%systemroot%\system32\severe.exe
%systemroot%\system32\vlpiaf.exe
%systemroot%\system32\drivers\vlpiaf.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\vlpiaf.dll
%systemroot%\system32\verclsid.dat
x:\autorun.inf
x:\oso.exe (x为任意盘符)
2、手动删除以下注册表值:
键:hkey_local_machine\software\microsoft\windows\currentversion\run\
值:””
数据:%systemroot%\system32\severe.exe
键:hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\(所有映像劫持)
3、手动修改以下注册表:
键hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\
值:shell
数据:explorer.exe
键:hkey_local_machine\software\microsoft\windows\currentversion\explorer\
advanced\folder\hidden\showall\
值:checkedvalue
数据:1
键:hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\
值:nodrivetypeautorun
数据:ff
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)遍历除c盘以外其他磁盘,如果根目录有oso.exe,打开盘符,让程序运行,如果没有,在每个磁盘创建autorun.inf和oso.exe
(2)复制自身到以下地址,并且运行
%systemroot%\system32\severe.exe
%systemroot%\system32\vlpiaf.exe
%systemroot%\system32\drivers\vlpiaf.exe
%systemroot%\system32\drivers\conime.exe
(3)生成批处理文件,修改本地时间为2004-1-22
(4)停止以下服务
srservice
kvwsc
kvsrvxp
kavsvc"
rsravmon
rsccenter
rsravmon
(5)卸载瑞星,遍历进程结束以下进程,
sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
pfw.exe
kav.exe
kvol.exe
kvfw.exe
adam.exe
qqav.exe
qqkav.exe
tbmon.exe
kav32.exe
kvwsc.exe
ccapp.exe
kregex.exe
kavsvc.exe
vptray.exe
ravmon.exe
eghost.exe
kavpfw.exe
shstat.exe
ravtask.exe
trojdie.kxp
iparmor.exe
mailmon.exe
mcagent.exe
kavplus.exe
ravmond.exe
rtvscan.exe
nvsvc32.exe
kvmonxp.exe
kvsrvxp.exe
ccenter.exe
kpopmon.exe
rfwmain.exe
kwatchui.exe
mcvsescn.exe
mskagent.exe
kvolself.exe
kvcenter.kxp
kavstart.exe
ravtimer.exe
rrfwmain.exe
firetray.exe
updaterui.exe
kvsrvxp_1.exe
ravservice.exe
(6)关闭qq.exe进程,创建注册表启动项,创建映像劫持,不能显示隐藏文件等
(7)释放动态库文件,并加载,设置钩子,获取qq帐号密码信息,并发送到指定网站
(8)复制%systemroot%\system32\vlpiaf.exe为%systemroot%\system32\verclsid.dat,下载,并读取指定网址,生成网页文件,并且运行网页文件
(9)开启自动播放功能,结束进程svchoxt.exe和ntdhcp.exe进程,修改hosts文件,阻止访问安全相关网站
(10)删除病毒使用过的临时文件
病毒创建文件:
%systemroot%\system32\severe.exe
%systemroot%\system32\vlpiaf.exe
%systemroot%\system32\drivers\vlpiaf.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\verclsid.dat
%systemroot%\system32\vlpiaf.dll
%systemroot%\system32\@#$#.htm
%systemroot%\system32\dqhx1.txt
%systemroot%\system32\dqhx2.txt
%systemroot%\system32\dqhx3.txt
x:\autorun.inf
x:\oso.exe (x为任意盘符)
病毒修改文件:
%systemroot%\system32\drivers\etc\hosts
病毒删除文件:
%systemroot%\system32\kakatool.dll
%systemroot%\system32\dqhx1.txt
%systemroot%\system32\dqhx2.txt
%systemroot%\system32\dqhx3.txt
%systemroot%\system32\@#$#.htm
%systemroot%\system32\glqq
病毒创建注册表:
hkey_local_machine\software\microsoft\windows\currentversion\run\
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
病毒修改注册表:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\shell
hkey_local_machine\software\microsoft\windows\currentversion\explorer\
advanced\folder\hidden\showall\checkedvalue
hkey_current_user\software\microsoft\windows\currentversion\policies\
explorer\nodrivetypeautorun
病毒创建进程:
severe.exe
conime.exe
病毒访问网络:
http://www.**.cn/ip.php
http://www.cd*21.net
http://www.cd*21.net/30w.txt |