Trojan-PSW.Win32.QQRob.fb
该病毒属木马类,病毒运行后,释放病毒文件到系统盘%WINDOWS%\\deleteme.bat,%system32%\\loveme.exe;修改注册表,添加启动项,以达到随机启动的目的;病毒尝试删除反病毒软件启动项,关闭反反病毒进程等,以防止病毒被杀。该病毒盗取QICQ、ICQ密码,尝试记录QICQ、ICQ的密码保护问题;并会检查系统管理员及用户的账号和密码。禁止在线杀毒等。该病毒对用户有较大危害。
病毒名称
Trojan-PSW.Win32.QQRob.fb
病毒类型: 木马类
文件 MD5: 3cd18067e6c7e39bfd07f3e15a928498
公开范围: 完全公开
危害等级: 中
文件长度: 98,479 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 无
命名对照: Symentec[无]
Mcafee[无]
行为分析:
1、病毒运行后,释放病毒文件到系统盘:
%WINDOWS%\\deleteme.bat
%system32%\\loveme.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows
\\CurrentVersion\\Run
键值:字串:"LOveme"="(病毒所在路径)\\LOveme.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
\\ShellNoRoam\\MUICache
键值: 字串: "(病毒所在路径)"="password"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\kavsvc\\Start
值:DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\kmixer\\Enum\\0
值: "SW\\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\\
{9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\
, KVSrvXP\\Start
值: DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\avapsvc\\Start
值: DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\RsRavMon\\Start
值: DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\Symantec Core LC\\Start
值: DWORD: 4 (0x4)
3、病毒尝试删除反病毒软件启动项:
KAVRun
RavMon
Kvxp
KvNative
… …
4、关闭反反病毒进程,以防止病毒被杀:
KAVRun
TavMon
RsRavMon
RsCCenter
KVWSC
kavsvc
KWatchSvc
wscsvc
Symantec core LC
Navapsvc
… …
5、尝试终止以下杀毒软件的进程:
金山毒霸2005
卡巴斯基反病毒单机版本
sysmantec antivirus企业版
天网防火墙个人版
天网防火墙企业版
木马克星
… …
6、检查管理员密码、检查当前用户密码
7、禁止在线杀毒:
VirusScan Online
注:
% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。
--------------------------------------------------------------------------------
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDOWS%\\deleteme.bat
%system32%\\loveme.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows
\\CurrentVersion\\Run
键值:字串:"LOveme"="(病毒所在路径)\\LOveme.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
\\ShellNoRoam\\MUICache
键值: 字串: "(病毒所在路径)"="password"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\kavsvc\\Start
值:DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\kmixer\\Enum\\0
值: s"SW\\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}
\\{9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\KVSrvXP\\Start
值: DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\avapsvc\\Start
值: DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\RsRavMon\\Start
值: DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services
\\Symantec Core LC\\Start
值: DWORD: 4 (0x4)