Trojan-PSW.Win32.QQPass.qn
Trojan-PSW.Win32.QQPass.qn是一个盗取QQ账号与密码,并发送到指定的邮箱中的木马程序。
简介
病毒名称: Trojan-PSW.Win32.QQPass.qn
病毒类型: 木马
文件 MD5: C9C33EF5BE153F0C7609249645142B61
公开范围: 完全公开
危害等级: 3
文件长度: 37,587 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: FS G 2.0
命名对照: NOD32 [ Win32/PSW.QQPass.JF ]
AVG [ Trojan horse PSW.Generic2.TZJ ]
病毒描述
该病毒属木马类,病毒利用记事本图标,名称为:个人档案 .exe 、成人小说 .exe 、重要资料 .exe 来迷惑用户。病毒运行后衍生病毒文件到系统目录下,修改注册表,添加启动项,以达到随机启动的目的,隐藏文件,病毒衍生的文件插入到系统进程 explorer.exe 中,并插入到所有应用级程序进程。破坏 QQ 升级程序,尝试结束部分反病毒软件进程,删除反病毒软件启动项、服务等, 该病毒可以通过 U 盘进行传播, 该病毒可以盗取用户 QQ 账号与密码,并发送到指定的邮箱中。
行为分析
1 、病毒利用记事本图标,名称为:个人档案 .exe 、成人小说 .exe 、重要资料 .exe 来迷惑
用户。
2 、病毒运行后衍生病毒文件到系统目录下:
%system32%\\gaxhpv.dll
%system32%\\gaxhpv.exe
%system32%\\qqhx.dat
3 、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键值 : 字串 : "xjawxa"="C:\\WINDOWS\\system32\\gaxhpv.exe"
4 、隐藏文件:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
新建键值 : 字串 : "CheckedValue"="0"
原键值 : 字串 : "CheckedValue"="1"
5 、将 gaxhpv.dll 插入到系统进程 explorer.exe 及所有应用级程序进程中:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\ NoDriveTypeAutoRun
新建键值 : DWORD: 189 (0xbd)
原键值 : DWORD: 145 (0x91)
6 、 破坏 QQ 升级程序:
QQLiveUpdate.exe
7 、 尝试结束部分反病毒软件进程:
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
conime.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
8 、删除部分反病毒软件启动项:
RavTask
Software\\Microsoft\\Windows\\CurrentVersion\\Run
KvMonXP
Software\\Microsoft\\Windows\\CurrentVersion\\Run
YLive.exe
Software\\Microsoft\\Windows\\CurrentVersion\\Run
yassistse
Software\\Microsoft\\Windows\\CurrentVersion\\Run
KAVPersonal50
Software\\Microsoft\\Windows\\CurrentVersion\\Run
JQbkgu
tVersion\\Run
Slhkk}r
Software\\Microsoft\\Windows\\CurrentVersion\\Run
9 、该病毒可以通过 U 盘进行传播:
autorun.inf
AutoRun]
autorun.inf
open=sxs.exe
shellexecute=sxs.exe
shell\\Auto\\command=sxs.exe
10 、该病毒可以通过 U 盘进行传播, 该病毒可以盗取用户 QQ 账号与密码,并发送到指定的
邮箱中:
当用户开启 QQ 程序时 , gaxhpv.dll 开始记录键盘操作,包括软键盘, 记录 QQ 账号与
密码后利用邮箱 ch*nji*p*q@tom.com 发送到 ch*nji*ox*q@tom.com 。从而盗取用用 QQ 账号
与密码。
用户名: chenjiupqq
密 码: ******
发信人: ch*nji*p*q@tom.com
收信人: ch*nji*ox*q@tom.com
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。
清除方案
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程:
gaxhpv.exe
explorer.exe
(2) 删除病毒文件:
%system32%\\gaxhpv.dll
%system32%\\gaxhpv.exe
%system32%\\qqhx.dat
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
键值 : 字串 : "xjawxa"="C:\\WINDOWS\\system32\\gaxhpv.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\ NoDriveTypeAutoRun
新建键值 : DWORD: 189 (0xbd)
原键值 : DWORD: 145 (0x91)
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
新建键值 : 字串 : "CheckedValue"="0"
原键值 : 字串 : "CheckedValue"="1"