请输入您要查询的百科知识:

 

词条 Trojan-PSW.Win32.QQPass.qn
释义

Trojan-PSW.Win32.QQPass.qn是一个盗取QQ账号与密码,并发送到指定的邮箱中的木马程序。

简介

病毒名称: Trojan-PSW.Win32.QQPass.qn

病毒类型: 木马

文件 MD5: C9C33EF5BE153F0C7609249645142B61

公开范围: 完全公开

危害等级: 3

文件长度: 37,587 字节

感染系统: windows98以上版本

开发工具: Borland Delphi 6.0 - 7.0

加壳类型: FS G 2.0

命名对照: NOD32 [ Win32/PSW.QQPass.JF ]

AVG [ Trojan horse PSW.Generic2.TZJ ]

病毒描述

该病毒属木马类,病毒利用记事本图标,名称为:个人档案 .exe 、成人小说 .exe 、重要资料 .exe 来迷惑用户。病毒运行后衍生病毒文件到系统目录下,修改注册表,添加启动项,以达到随机启动的目的,隐藏文件,病毒衍生的文件插入到系统进程 explorer.exe 中,并插入到所有应用级程序进程。破坏 QQ 升级程序,尝试结束部分反病毒软件进程,删除反病毒软件启动项、服务等, 该病毒可以通过 U 盘进行传播, 该病毒可以盗取用户 QQ 账号与密码,并发送到指定的邮箱中。

行为分析

1 、病毒利用记事本图标,名称为:个人档案 .exe 、成人小说 .exe 、重要资料 .exe 来迷惑

用户。

2 、病毒运行后衍生病毒文件到系统目录下:

%system32%\\gaxhpv.dll

%system32%\\gaxhpv.exe

%system32%\\qqhx.dat

3 、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

键值 : 字串 : "xjawxa"="C:\\WINDOWS\\system32\\gaxhpv.exe"

4 、隐藏文件:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

新建键值 : 字串 : "CheckedValue"="0"

原键值 : 字串 : "CheckedValue"="1"

5 、将 gaxhpv.dll 插入到系统进程 explorer.exe 及所有应用级程序进程中:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Policies\\Explorer\\ NoDriveTypeAutoRun

新建键值 : DWORD: 189 (0xbd)

原键值 : DWORD: 145 (0x91)

6 、 破坏 QQ 升级程序:

QQLiveUpdate.exe

7 、 尝试结束部分反病毒软件进程:

net.exe

sc1.exe

net1.exe

PFW.exe

Kav.exe

KVOL.exe

KVFW.exe

adam.exe

TBMon.exe

kav32.exe

kvwsc.exe

CCAPP.exe

conime.exe

EGHOST.exe

KRegEx.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

EGHOST.exe

KavPFW.exe

SHSTAT.exe

RavTask.exe

TrojDie.kxp

Iparmor.exe

MAILMON.exe

MCAGENT.exe

KAVPLUS.exe

RavMonD.exe

Rtvscan.exe

Nvsvc32.exe

Kvsrvxp.exe

CCenter.exe

KpopMon.exe

RfwMain.exe

KWATCHUI.exe

MCVSESCN.exe

MSKAGENT.exe

kvolself.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

FireTray.exe

UpdaterUI.exe

KVSrvXp_1.exe

RavService.exe

8 、删除部分反病毒软件启动项:

RavTask

Software\\Microsoft\\Windows\\CurrentVersion\\Run

KvMonXP

Software\\Microsoft\\Windows\\CurrentVersion\\Run

YLive.exe

Software\\Microsoft\\Windows\\CurrentVersion\\Run

yassistse

Software\\Microsoft\\Windows\\CurrentVersion\\Run

KAVPersonal50

Software\\Microsoft\\Windows\\CurrentVersion\\Run

JQbkgu

tVersion\\Run

Slhkk}r

Software\\Microsoft\\Windows\\CurrentVersion\\Run

9 、该病毒可以通过 U 盘进行传播:

autorun.inf

AutoRun]

autorun.inf

open=sxs.exe

shellexecute=sxs.exe

shell\\Auto\\command=sxs.exe

10 、该病毒可以通过 U 盘进行传播, 该病毒可以盗取用户 QQ 账号与密码,并发送到指定的

邮箱中:

当用户开启 QQ 程序时 , gaxhpv.dll 开始记录键盘操作,包括软键盘, 记录 QQ 账号与

密码后利用邮箱 ch*nji*p*q@tom.com 发送到 ch*nji*ox*q@tom.com 。从而盗取用用 QQ 账号

与密码。

用户名: chenjiupqq

密 码: ******

发信人: ch*nji*p*q@tom.com

收信人: ch*nji*ox*q@tom.com

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程:

gaxhpv.exe

explorer.exe

(2) 删除病毒文件:

%system32%\\gaxhpv.dll

%system32%\\gaxhpv.exe

%system32%\\qqhx.dat

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run

键值 : 字串 : "xjawxa"="C:\\WINDOWS\\system32\\gaxhpv.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Policies\\Explorer\\ NoDriveTypeAutoRun

新建键值 : DWORD: 189 (0xbd)

原键值 : DWORD: 145 (0x91)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

新建键值 : 字串 : "CheckedValue"="0"

原键值 : 字串 : "CheckedValue"="1"
随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/1/29 7:32:57