Trojan-PSW.Win32.QQPass.uv_在线百科全书查询
Trojan-PSW.Win32.QQPass.uv
Trojan-PSW.Win32.QQPass.uv 属于木马。文件 MD5是 83B8055939FC1D83CF717B347FA81340。公开范围为 完全公开。危害等级是3级。文件长度有31,974 字节能感染Win9X以上系统。开发工具是Borland Delphi 6.0 - 7.0 。加壳类型 为 Upack 0.3.9
病毒描述
该病毒属木马类,病毒图标为文本文档图标,用以迷惑用户点击运行。病毒运行后复制自身到 %system32% 下三个病毒文件,文件名分别为 hpxger.exe 、 severe.exe 、 verclsid.dat ,并释放病毒文件 hpxger.dll ,复制自身到 %system32%\\drivers 下,病毒名为 nvhcnd.com ;在非系统盘根目录下(不包括移动设备)复制自身文件名为 oso.exe ,释放病毒文件 autorun.inf ;修改注册表,添加启动项,以达到随机启动的目的;系统中的某些软件被其映像劫持;修改 hosts 文件,屏蔽对病毒运行有威胁的网站;锁定对隐藏文件的显示,使用户无法查看并删除具有隐藏属性的病毒文件。
行为分析
1 、 病毒运行后复制自身到 %system32% 及其附属文件夹下
%system32%\\drivers\vhcnd.com
%system32%\\hpxger.dll
%system32%\\hpxger.exe
%system32%\\severe.exe
%system32%\\verclsid.dat
% 非系统盘根目录 %\\ oso.exe
% 非系统盘 根目录 % \\ autorun.inf
2 、 修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
新键值 : 字串 : "Shell"="Explorer.exe C:\\WINNT\\system32\\severe.exe"
旧键值 : 字串 : "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键值 : 字串 : "nvhcnd"="C:\\WINNT\\system32\\hpxger.exe"
3 、 修改 hosts 文件,屏蔽对病毒运行有威胁的网站:
127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
4 、 映像劫持一些对其有威胁作用的软件 :
注册表位置
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\% 被映像劫持的软件的执行文件的文件名称 %\\Debugger
键值 : 字符串 : "C:\\WINNT\\system32\\drivers\vhcnd.com"
(被劫持软件见附录)
5 、 锁定对隐藏文件的显示,使用户无法查看并删除具有隐藏属性的病毒文件。
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue
新键值 : 字串 : "0"
旧键值 : DWORD: 1 (0x1)
注: %system32% 是一个可变路径。病毒通过查询操作系统来决定当前 system32 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\system32 , windows95/98/me/xp 中默认的安装路径是 C:\\Windows\\system32 。
清除方案
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程
(2) 删除病毒文件:
%system32%\\drivers\vhcnd.com
%system32%\\hpxger.dll
%system32%\\hpxger.exe
%system32%\\verclsid.dat
% 非系统盘根目录 %\\ oso.exe
% 非系统盘 根目录 % \\ autorun.inf
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 。
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键值 : 字串 : "nvhcnd"="C:\\WINNT\\system32\\hpxger.exe"
恢复注册表原键值:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\
Winlogon
新键值 : 字串 : "Shell"="Explorer.exe C:\\WINNT\\system32\\severe.exe"
旧键值 : 字串 : "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue
新键值 : 字串 : "0"
旧键值 : DWORD: 1 (0x1)
注:在对显示隐藏文件的锁定键值进行修改时,由于病毒改变了该键的数据类型,更改时,须将原“字串”类型的键删除,再创建“ DWORD ”类型的键并附值。
附:被劫持软件列表
360Safe.exe 、 adam.exe 、 avp.com 、 avp.exe 、 EGHOST.exe 、 IceSword.exe 、 iparmo.exe 、 kabaload.exe 、 KRegEx.exe 、 KvDetect.exe 、 KVMonXP.kxp 、 KvXP.kxp 、 MagicSet.exe 、 mmsk.exe 、 msconfig.com 、 msconfig.ex 、 NOD32.exe 、 PFW.exe 、 PFWLiveUpdate.exe 、 QQDoctor.exe 、 Ras.exe 、 Rav.exe 、 RavMon.exe 、 regedit.com 、 regedit.exe 、 runiep.exe 、 runiep.exe 、 SREng.EXE 、 TrojDie.kxp 、 WoptiClean.exe 。
