§ 病毒别名

： 处理时间：2006-08-18 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

§ 病毒行为

:

该病毒是一个QQ盗号木马。它会将盗去的帐号密码提交给指定的处理网页，

而且该病毒隐秘性很强，建议电脑用户升级杀毒软件，

不要随便运行不名来历的程序，以免中毒受害。

1、生成的文件

%SystemRoot%\\system32\\Drivers\\ksld.sys

%Program Files%\\Tencent\\QQ\\TIMPlatfrom.exe

%SystemRoot%\\system32\\wdm.exe

2、添加注册表启动项

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

"KernelFaultCheck" = "%SystemRoot%\\system32\\wdm.exe"

3、该病毒运行时会吧QQ目录下TIMPlatform.exe文件TIMPlatfrom.exe，

然后将自身复制到该目录，命名为TIMPlatform.exe，并设置属性为隐藏，

这样在运行QQ程序的同时病毒也运行起来。

4、该病毒修改exe文件关联。

5、该病毒运行时会尝试结束以下程序

SERVICES.EXE

SMSS.EXE

CSRSS.EXE

WINLOGON.EXE

LSASS.EXE

SVCHOST.EXE

ALG.EXE

TIMPLATFORM.EXE

RUNDLL32.EXE

6、该病毒为了避免杀毒软件查杀，采用名称加密，动态获取一些驱动级的Native API进行免杀。

7、该病毒使用了两个不同的加密算法保存加密信息，其中一处经过简单加密保存了一些加密信息，

主要算法是加密字符串逐个字节与0xC8做异或运算。下面是解密后的信息：

"\\\\Drivers\\\\ksld.sys"

"RtlInitUnicodeString"

"ZwSetSystemInformation"

"ZwQuerySystemInformation"

"KeServiceDescriptorTable"

"SERVICES.EXE,SMSS.EXE,CSRSS.EXE,WINLOGON.EXE,LSASS.EXE,SVCHOST.EXE,ALG.EXE,TIMPLATFORM.EXE,RUNDLL32.EXE"

"SOFTWARE\\\\TENCENT\\\\PLATFORM_TYPE_LIST\\\\1"

"TIMPlatform.exe"

"exefile\\\\shell\\\\open\\\\command"

"SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion"

8、该病毒运行后会删除原病毒文件。

9、该病毒文件的版本信息

产品版本：5.1.2600.0

产品名称：Microsoft? Windows? Operating System

公司：Microsoft Corporation

内部名称：wdm

文件版本：5.1.2600.0

语言：中文(中国)

源文件名：wdm.exe

描述：Microsoft Wdm Control

版权：? Microsoft Corporation. All rights reserved.

§ 其它

文化艺术,生活娱乐,人物百科,社会人文,中外历史...

• 《福建省地图册》
• 《福建菜谱 闽西风味》
• 《福星急转弯》
• 《福星闯江湖》
• 《福星高照猪八戒》
• 《福杯满溢》
• 《福楼拜小说全集(上、中、下)》
• 《福楼拜小说全集(上中下)》
• 《福禄双霸天2000》
• 《福艳天下》
• 《福音》
• 《禹迹图》
• 《离.合》
• 《离》
• 《离之恋》
• 《离乡恨》
• 《离人心头点点秋》
• 《离别是一首黄昏的歌》
• 《离别，轻诉》
• 《离去的爱》
• 《离婚》
• 《离婚再婚》
• 《离婚合同》
• 《离婚喜剧》
• 《离婚律师》