简介(基本介绍 行为分析)

预防方案

木马类病毒，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，关闭windows自动更新功能，尝试终止杀毒软件的启动和运行。该病毒可以盗取用户QICQ的账号与密码。

简介

基本介绍

病毒名称：Trojan-PSW.Win32.QQPass.khd

病毒类型： 木马

公开范围： 完全公开

危害等级： 3

文件长度： 42,132 字节

感染系统： windows98以上版本

BitDefender [Trojan.ShellHook]

行为分析

该主程序创建并运行文件%Temp%photos02.jpg(照片文件)　创建文件：C:Program FilesInternet ExplorerConnection Wizardxiaran.vxd（DLL动态联接库文件）

文件创建成功，创建注册表，开机自启动文件xiaran.vxd ：

Quote:

项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

子键：{02315C1A-9BA9-4B7C-A432-29995F78DF28}

键值：0

项：

HKEY_CLASSES_ROOTCLSID{02315C1A-9BA9-4B7C-A432-29995F78DF28}

键值：0

项：

HKEY_CLASSES_ROOTCLSID{02315C1A-9BA9-4B7C-A432-29995F78DF28}InProcServer32

键值：C:Program FilesInternet ExplorerConnection Wizardxiaran.vxd

项：

HKEY_CLASSES_ROOTCLSID{02315C1A-9BA9-4B7C-A432-29995F78DF28}InProcServer32

子键：ThreadingModel

键值：Apartment

然后使用函数SetWindowsHookExA进行全局挂钩，把xiaran.vxd注入到每一个进程中

xiaran.vxd（DLL动态库）行为：

当自身注入到进程 explorer.exe中，进行如下动作：

使用API函数URLDownloadToFileA下载病毒到

C:DOCUME~1BryceLOCALS~1Temp~Tm2.tmp.exe

然后运行C:DOCUME~1BryceLOCALS~1Temp~Tm2.tmp.exe下载病毒到

C:DOCUME~1BryceLOCALS~1Temp~Tm13.tmp.exe

然后运行C:DOCUME~1BryceLOCALS~1Temp~Tm13.tmp.exe

当自身注入到进程 QQ.exe中，进行如下动作：

删除QQ目录下的npkcrypt.sys文件，然后加载文件LoginCtrl.dll，破坏QQ的键盘加密锁

使用函数SetWindowsHookExA建立键盘钩子，盗取QQ帐号密码，通过邮件发给盗号者

该样本是使用VC编写的EXE程序，由微点主动防御软件自动捕获，采用Upack方式加壳,长度为31,331字节，图标为，病毒扩展名为exe。病毒主要用于盗取“QQ” 帐号密码。

预防方案

1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。

3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

4、开启windows自动更新，及时打好漏洞补丁。