| 词条 | Trojan.PSW.Win32.QQPass.cdw |
| 释义 | 一种木马,盗窃QQ账号,运行后,复制自身到%Program Files%\\Internet Explorer\\PLUGINS目录下,并重命名为UnixSys32.Jmp,并在该目录下衍生含有隐藏属性的病毒文件UnixSys08.Sys;新建注册表项,创建CLSID值,添加HOOK项,以达到当系统启动的时候利用Explorer.exe进程加载UnixSys08.Sys;浏览器劫持,添加注册表BHO项,用来当IE运行时加载UnixSys08.Sys;并试图通过全局挂钩把UnixSys08.Sys注入到所有进程中,通过截获当前用户的键盘和鼠标消息以获取QQ的账号及密码,发送到病毒作者指定的URL;该病毒实现完自身代码后,会结束自身进程。 病毒标签病毒名称: Trojan-PSW.Win32.QQPass.cdw 病毒类型:木马 文件 MD5: 9527A14F4190E49EC31E601295A5717C 公开范围:完全公开 危害等级: 3 文件长度:加壳后30,840 字节 脱壳后104,056字节 感染系统: Windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 行为分析本地行为: 1、文件运行后会释放以下文件: %Program Files%\\Internet Explorer \\PLUGINS\\UnixSys08.Sys 44,664 字节 %Program Files%\\Internet Explorer \\PLUGINS\\UnixSys32.Jmp 30,840字节 2、新增注册表: [HKEY_CURRENT_USER\\Software\\Tencent\\Unix] 注册表值: "Eo9" 类型: REG_SZ 字符串: "kk" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID \\{74381DEC-D78B-43E4-BA5D-5244F669EBE4} \\InProcServer32] 注册表值: "@ " 类型: REG_SZ 字符串: "C:\\Program Files\\Internet Explorer \\PLUGINS\\UnixSys08.Sys" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID \\{74381DEC-D78B-43E4-BA5D-5244F669EBE4} \\InProcServer32] 注册表值: "ThreadingModel" 类型: REG_SZ 字符串: "Apartment" 描述:注册CLSID值 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\ShellExecuteHooks] 注册表值: "{74381DEC-D78B-43E4-BA5D-5244F669EBE4}" 类型: REG_SZ 字符串: "" 描述: 以达到当系统启动的时候利用Explorer.exe 进程加载UnixSys08.Sys [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Browser Helper Objects] 注册表值: "{74381DEC-D78B-43E4-BA5D-5244F669EBE4}" 类型: REG_SZ 字符串: "" 描述:添加病毒文件fjOs0r.dll至浏览器辅助对象BHO, 以到达在用户启动IE时加载UnixSys08.Sys 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 清除方案1、使用安天防线可彻底清除此病毒(推荐),安天防线下载地址:http://www.antiyfx.com/download.htm 。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用ATOOL卸载注入到相关进程的UnixSys08.Sys,ATOOL下载地址:http://www.antiy.com/freetools/atool.htm 。 具体操作如下: 打开ATOOL→工具菜单→搜索处置DLL项→输入UnixSys08.Sys,点击查找→点击卸载,当出现“您是否要卸载含有unixsys08.sys的被加载运行的所有dll文件”时,选“是(Y)”即可。 (2)删除病毒衍生的文件: %Program Files%\\Internet Explorer \\PLUGINS\\UnixSys08.Sys %Program Files%\\Internet Explorer \\PLUGINS\\UnixSys32.Jmp (3)删除病毒添加的注册表项 : 删除[HKEY_LOCAL_MACHINE\\SOFTWARE \\Classes\\CLSID]下的{74381DEC-D78B- 43E4-BA5D-5244F669EBE4}子键 删除[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Browser Helper Objects]下的 {74381DEC-D78B-43E4-BA5D-5244F669EBE4}子键 删除[HKEY_LOCAL_MACHINE\\SOFTWARE \\Microsoft\\Windows\\CurrentVersion \\Explorer\\ShellExecuteHooks]下的 {74381DEC-D78B-43E4-BA5D-5244F669EBE4}值 删除[HKEY_CURRENT_USER\\Software\\Tencent]下的UNIX子键 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。