载入中…

 | 网站首页 | 文章中心 | 下载中心 | 图片中心 | 反木马论坛 |日志分析|样本上传|求助| | 

您现在的位置: 反木马在线 >> 文章中心 >> 最新病毒 >> 文章正文
警惕!可恶的盗号木马又出新招!
作者:佚名    文章来源:不详    点击数:    更新时间:2008-2-4

作者:清新阳光                                          ( http://hi.baidu.com/newcenturysun)
日期:2007/08/27                                      (转载请保留此申明)

今天接到网友求助,说怀疑电脑中毒了,于是帮他看了一下,发现了如下这个病毒,该病毒直接把病毒放到QQ安装文件夹中,伪装Qq登录界面,诱使用户直接在自己的QQ登录程序中登录QQ,从而达到盗号的目的。
具体分析如下
File: QQ .exe
Size: 2061889 bytes
Modified: 2007年8月27日, 20:27:29
MD5: FDC58D7466CEB65C7D6C3D4255D4C717
SHA1: C87DDFBB1C16C663DB3E4ABA4A7F46B6539F29DE
CRC32: D8134BDB

生成如下文件:
%system32%\svhost.exe
%system32%\svhostkeep.exe
此两个进程互相守护,如果一个进程被结束,那么另一个会启动它

查找 注册表SOFTWARE\TENCENT\PLATFORM_TYPE_LIST\1\TypePath中的键值获得QQ安装目录
之后把QQ安装文件夹中的QQ.exe属性设置为隐藏
释放QQ .exe(中间有空格)到QQ安装文件夹
QQ .exe运行之后是一个qq用户登录界面 不过是假的 以欺骗用户 但可以正常登录

QQ .exe,svhost.exe,svhostkeep.exe完全相同

查找如下快捷方式
*QQ*.lnk
如果查找到了则将其指向QQ安装文件夹下的QQ .exe

关闭带有如下字样的窗口:
专杀
木马
克星
QQ医生
安全卫士
卫士
任务管理器

查找带有"QQ用户登录"的窗口 且非自身病毒(QQ .exe)运行时候的窗口
如果查找到了 就自动关闭该窗口 并且启动QQ .exe


添加如下IFEO映像劫持项目指向%system32%\svhost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AdPop.Exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AdPop.Exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AUTODOWN.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPM.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavscr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSvcUI.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MAILMON.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pfw.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ravtimer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rising.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RTHDCPL.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\srtask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TBSCAN.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TCA.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\THGUARD.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanHunter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBSCANX.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiProcess.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\修复工具.exe


修改hosts文件 屏蔽一些常用安全软件下载地址
127.0.0.1 www.360safe.com
127.0.0.1 360safe.com
127.0.0.1 www.skycn.com/soft/3252.html
127.0.0.1 skycn.com/soft/3252.html
127.0.0.1 www.skycn.com/soft/24158.html
127.0.0.1 skycn.com/soft/24158.html
127.0.0.1 mmsk.cn
127.0.0.1 www.mmsk.cn
127.0.0.1 www.luosoft.com/index1.htm
127.0.0.1 www.luosoft.com/index2.htm
127.0.0.1 www.luosoft.com/index3.htm
127.0.0.1 luosoft.com/index3.htm
127.0.0.1 www.luosoft.com
127.0.0.1 luosoft.com
127.0.0.1 safe.qq.com/product
127.0.0.1 safe.qq.com
127.0.0.1 www.safe.qq.com/product
127.0.0.1 www.safe.qq.com
127.0.0.1 www.onlinedown.net/soft/37369.htm

删除SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\下面的子键

修改HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit值为C:\WINDOWS\system32\userinit.exe,svhost.exe
达到开机启动的目的

病毒体内记录的木马名称:爱Q木马
病毒可以发送如下信息(包括但不限于)
国家,时区,操作系统,本地语言,国家代码,IE信息,内存容量信息,网卡名,硬盘信息序列号,硬盘信息磁头数,硬盘信息缓存大小,CPU名称,CPU描述,CPU序列号,CPU 一级缓存大小,CPU二级缓存大小...

可见,此盗号木马运用了很多目前流行的手法,如IFEO,监控窗口,屏蔽显示隐藏文件,修改hosts,双进程守护等方式,甚至直接替换QQ的快捷方式,使其指向病毒,且病毒可以伪装QQ登录界面,其根本目的就是获得用户的QQ帐号和密码。

清除办法:
1.下载Icesword这个软件
解压后,把Icesword.exe改名
打开它,点击菜单栏中的文件>设置 勾选禁止进线程创建,确定


点击进程 找到svhost.exe和svhostkeep.exe进程
分别右键结束他们

2.还是这个软件 点击左下角的文件 按钮
找到如下文件
C:\WINDOWS\system32\svhost.exe
C:\WINDOWS\system32\svhostkeep.exe
以及QQ安装文件夹下的QQ .exe(中间有空格)
右键删除他们


3.打开sreng
启动项目 双击Userinit把其键值改为%system32%\userinit.exe
4.sreng中,分别选中每个红色的IFEO项目,删除他们
5.sreng中,系统修复,hosts文件,点击重置 在弹出的对话框中点击是,然后点击保存按钮
6.把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入
发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章:

  • 下一篇文章:
    • 相关新闻
    没有相关文章
    论坛新帖
    新 闻 TOP 10
  • 没有热点文章
    		•
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    文字链接: 热门下说网
    Copyright © 2008 FanMuMa.com All Rights Reserved
    客服邮箱:fanmuma#126.com(将#换为@) 站长:Fisco 联系电话:15802671439 联系QQ:337803 
    捍卫属于个人的一切--