原帖地址:
http://bbs.houdao.com/r296938_1/请版主封他的IP
Trojan-PSW.Win32.QQPass.up
病毒名称: Trojan-PSW.Win32.QQPass.up
中文名称: vvQQ 大盗 2007
病毒类型: 木马
文件 MD5: EC2307953F369F9E3143E26808DA48A7
公开范围: 完全公开
危害等级: 3
文件长度: 加壳后 39,189 字节,脱壳后124,928 字节
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
命名对照: AVG[Trojan horse PSW.Generic3.JJH]
BitDefender [Generic.Malware.SFMB.016087BB]
DrWeb[Trojan.PWS.Gamania]
ClamAV[Trojan.Spy-1478]
病毒描述:
该病毒运行后,衍生病毒文件到系统程序目录下。添加注册表 ShellExecuteHooks 项,间接挂载病毒程序到所有进程中,从而获取敏感信息通过内建的 SMTP 程序,发送到指定地址。此病毒对最新版的QQ程序亦有效。
行为分析:
1 、 衍生下列副本与文件:
% Program Files%\Internet Explorer\Connection Wizard\isignup.dll
% Program Files%\Internet Explorer\Connection Wizard\isignup.sys dl.bitsCN.com网管软件下载
2 、 新建注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-7AD3-4678-B2FE-
F2D7381CC1B5}\InProcServer32\@
Value: String: "C:\Program Files\Internet Explorer\Connection
Wizard\isignup.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-7AD3-4678-B2FE-
F2D7381CC1B5}\InProcServer32\ThreadingModel
Value: String: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks\
Value: String: ""
HKEY_CURRENT_USER\Software\Microsoft\qqjdd\DL
Value: String: "2"
3 、 病毒可通过下列方式发送:
SMTP
ASP 页面
Php 页面
4 、病毒可选发送信息:
购物券数量、地理位置及 IP 、是否有 Q 币、立即删除自身、
blog.bitsCN.com网管博客等你来搏
首次运行(可填写)秒后关闭 QQ
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 使用安天盾防火墙控制网络 ( 推荐 )
3 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-
7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32\@
Value: String: "C:\Program Files\Internet Explorer\
Connection Wizard\isignup.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A170A8-
7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32\ThreadingModel
dl.bitsCN.com网管软件下载
Value: String: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-
F2D7381CC1B5}
Value: String: ""
HKEY_CURRENT_USER\Software\Microsoft\qqjdd\DL
Value: String: "2"
(2) 重新启动计算机
(3) 删除病毒释放文件:
% Program Files%\Internet Explorer\Connection
Wizard\isignup.dll
% Program Files%\Internet Explorer\Connection
Wizard\isignup.sys