木蠕虫类病毒 Worm.Win32.QQPass.e 分析

Simen.Resh@d · 发表于 2008-2-12 12:53:42

作者：安天病毒分析组

病毒标签：

病毒名称： Worm.Win32.QQPass.e
病毒类型：蠕虫类
文件 MD5： 87B658111C0D2E26D04ECA66B89BE0A4
公开范围：完全公开
危害等级： 4
文件长度： 16,948 字节
感染系统： Windows98以上版本
开发工具： orland Delphi 6.0 - 7.0
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述：

　　该病毒为木蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件。修改
注册表，添加启动项，以达到随机启动的目的。NewTemp.dll插入EXPLORER.EXE
进程中，并以EXPLORER.EXE进程连接网络下载病毒文件。该病毒可盗取用户的帐
号密码等敏感信息。

行为分析：

本地行为：

1、文件运行后会衍生以下文件：

　　　　%DriveLetter%\autorun.inf 　　　　100 字节
　　　　%DriveLetter%\PegeFile.pif 　　　 16,948字节
　　　　%Program Files%\Internet Explorer
　　　　\PLUGINS\NewTemp.bak 　　　　　　　16,948字节
　　　　%Program Files%\Internet Explorer
　　　　\PLUGINS\NewTemp.dll 　　　　　　　10,804字节
　　
2、新建注册表：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{0EA66AD2-CF26-2E23-532B-B292E22F3266}
　　　　\InProcServer32]
　　　　注册表值："{0EA66AD2-CF26-2E23-532B-B292E22F3266}"
　　　　类型： REG_SZ
　　　　值： ""
　　　　描述：添加启动项，以达到随机启动的目的
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\ShellExecuteHooks]
　　　　注册表值："@"
　　　　类型： REG_SZ
　　　　值： "C:\Program Files\Internet Explorer
　　　　\PLUGINS\NewTemp.dll"
　　　　描述：添加启动项，以达到随机启动的目的

3、将NewTemp.dll插入到EXPLORER.EXE进程和应用程序进程中.　　　　

4、该病毒在驱动器的各个盘符下创建启动文件autorun.inf和该启动文件对应的
　执行文件，在用户双击打开盘符时便会启动病毒程序。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　　　　　　　　逻辑驱动器根目录
　　　　%ProgramFiles%　　　　　　　系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　　　　　　　　　

清除方案：

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　　请到安天网站下载：www.antiy.com 。　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。　
　　 (1)使用安天木马防线或ATool中的“进程管理”关闭病毒
　　　插入的NewTemp.dll。
　　 (2)强行删除病毒文件：
　　　%DriveLetter%\autorun.inf 100 字节
　　　%DriveLetter%\PegeFile.pif 16,948字节
　　　%Program Files%\Internet Explorer
　　　\PLUGINS\NewTemp.bak 16,948字节
　　　%Program Files%\Internet Explorer
　　　\PLUGINS\NewTemp.dll 10,804字节
　　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　　　[HKEY_LOCAL_MACHINE\SOFTWARE
　　　\Classes\CLSID\{0EA66AD2-CF26-2E23
　　　-532B-B292E22F3266}\InProcServer32]
　　　注册表值："{0EA66AD2-CF26-2E23-532B-B292E22F3266}"
　　　类型： REG_SZ
　　　值： ""
　　　[HKEY_LOCAL_MACHINE\SOFTWARE
　　　\Microsoft\Windows\CurrentVersion
　　　\Explorer\ShellExecuteHooks]
　　　注册表值："@"
　　　类型： REG_SZ
　　　值： "C:\Program Files\Internet Explorer
　　　\PLUGINS\NewTemp.dll"

[ 本帖最后由 Simen.Resh@d 于 2008-2-12 13:02 编辑 ]

kz.z+ · 发表于 2008-2-12 13:01:14

郁闷啊 QQ华夏的随机仓库密码都被破了
我的仓库

SiMen.T · 发表于 2008-2-12 14:06:15

我的机子里都N种病毒了

kz.z+ · 发表于 2008-2-12 14:07:28

用苹果机

GeminiG · 发表于 2008-2-12 14:59:44

玩的就是病毒...

多种点..

luwanpkjide · 发表于 2008-4-19 07:42:36

我最讨厌也最怕的就是蠕虫类病毒了！！

账号		自动登录	找回密码
密码			立即注册