Trojan-PSW.Win32.QQPass.je分析报告

安天实验室 CERT
一、 病毒标签:
病毒名称: Trojan-PSW.Win32.QQPass.je
病毒类型: ***类
文件 MD5: BEA3C452B98DF949026B149234DFCED8
公开范围: 完全公开
危害等级: 3
文件长度: 67,221 字节
感染系统: windows 98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 无
二、 病毒描述:
该病毒为***类病毒,该病毒运行后,复制自身到 %Program Files%目录的子文件夹下,并重命名为MoWang.sys ,衍生病毒文件,并删除自身。 修改注册表,添加启动项,以达到随机启动的目的。查找进程列表并且保存这次查找的程序名和PID获取快照;设置远程线程来执行MoWang.tdm,在执 行时插入到能够插入的进程中。该病毒可以盗取用户游戏和QQ的账号与密码。
三、 行为分析:
1、病毒运行后释放文件:
%Program Files%\Internet Explorer\MoWang.sys
%Program Files%\Internet Explorer\MoWang.tdm
2、修改注册表,创建CLSID组件键值插入系统进程中,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32
键值: 字串: " @ " = "C:\Program Files\Internet Explorer\MoWang.tdm"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
键值: 字串: " {DD7D4640-4464-48C0-82FD-21338366D2D2} " = ""
3、设置远程线程来执行MoWang.tdm,在执行时插入应用程序进程中。
4、该病毒链接 "Host" = "18dmm.com",尝试下载病文件:1.exe, 2.exe,两个 3.exe(下载路径不同), 4.exe,6.exe,7.exe,8.exe,9.exe,10.exe和11.exe;下载完成后执行病毒文件。释放并衍生部分病毒文件如下:
%System32%\cmdbcs.dll
%System32%\mppds.dll
%System32%\winform.dll
%System32%\wsttrs.dll
%Windir%\cmdbcs.exe
%Windir%\mppds.exe
%Windir%\winform.exe
%Windir%\wsttrs.exe
新建注册表项如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " cmdbcs " =   "C:\WINDOWS\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " mppds" = "C:\WINDOWS\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " winform " =   "C:\WINDOWS\winform.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
键值: 字串: " wsttrs " =   "C:\WINDOWS\wsttrs.exe"

注释:
%Windir%         WINDODWS所在目录
%DriveLetter%     逻辑驱动器根目录
%ProgramFiles%     系统程序默认安装目录
%HomeDrive%       当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp%       当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%      是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。


四、 清除方案:
1、使用安天***防线可彻底清除此病毒(推荐),请到安天网站下载:[url]www.antiy.com[/url]
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: [url]www.antiy.com[/url][url]http://www.antiy.com/download/index.htm[/url]
(1) 使用安天***防线或ATool中的“进程管理”关闭病毒进程
强行卸载插入的MoWang.tdm文件
(2) 强行删除病毒文件
%Program Files%\Internet Explorer\MoWang.sys
%\Program Files%\Internet Explorer\MoWang.tdm
%System32%\cmdbcs.dll
%System32%\mppds.dll
%System32%\winform.dll
%System32%\wsttrs.dll
%Windir%\cmdbcs.exe
%Windir%\mppds.exe
%Windir%\winform.exe
%Windir%\wsttrs.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32
键值: 字串: " @ " = "C:\Program Files\Internet Explorer\MoWang.tdm"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
键值: 字串: " {DD7D4640-4464-48C0-82FD-21338366D2D2} " = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " cmdbcs " =   "C:\WINDOWS\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " mppds" = "C:\WINDOWS\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " winform " =   "C:\WINDOWS\winform.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
键值: 字串: " wsttrs " =   "C:\WINDOWS\wsttrs.exe"