超级巡警团队监测到恶意程序Trojan-PSW.Win32.QQPass.jr正在传播。该病毒运行后释放SysInfo.wmp文件和批处理文件,并运行批处理文件删除自身;修改注册表,实现木马开机自启动;创建钩子来盗取用户QQ号码及密码并发送到指定邮箱。超级巡警建议广大用户使用超级巡警保险箱保护各种账号,同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-PSW.Win32.QQPass.jr
病毒别名:QQ大盗
病毒类型:木马类
危害级别:2
感染平台:Windows
病毒大小:39,117 字节
S H A 1 :5ee7166f5e2617cf0bb54f4d6a6abb088b04448d
加壳类型:UPX 2.90 [LZMA]
开发工具:Borland Delphi 6.0 - 7.0
病毒行为:
1、释放以下病毒文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\SysInfo.wmp (22,221 字节)
_xr.bat(150 字节)(此文件病毒运行后自删除)
注:
bat代码如下:
:try
del "C:\Documents and Settings\Administrator\桌面\qq.Exe.v"
if exist "C:\Documents and Settings\Administrator\桌面\qq.Exe.v" goto try
del %0
2、添加以下注册表键值,达到随机自启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks
数值名称:{08315C1A-9BA9-4B7C-A432-26885F78DF28}
类型:REG_SZ
数值数据:""
3、添加以下注册表项和键值,创建钩子来窃取密码:
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F78DF28}\InProcServer32
数值名称:""
类型:REG_SZ
数值数据:C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp
数值名称:ThreadingModel
类型:REG_SZ
数值数据:Apartment
4、将所盗取的QQ号码及密码发送到以下指定邮箱:
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/download/16.html
超级巡警工具箱下载地址:http://www.sucop.com/2009/0317/297.html
手工清除方法:
1、删除病毒释放的文件:
打开超级巡警工具箱,选择【扩展功能】,从【文件浏览器】中找到以下文件,在文件上右键暴力删除:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\SysInfo.wmp (22,221 字节)
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\SysInfo.tmp (22,221 字节)
2、重启电脑后,删除以下注册表项或注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks
数值名称:{08315C1A-9BA9-4B7C-A432-26885F78DF28}
类型:REG_SZ
数值数据:""
HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F78DF28}\InProcServer32
数值名称:""
类型:REG_SZ
数值数据:C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp
数值名称:ThreadingModel
类型:REG_SZ
数值数据:Apartment
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、禁用不必要的服务。
4、及时更新常用软件,尤其是聊天工具。
5、不要随便打开不明来历的电子邮件,尤其是邮件附件。
6、不要随意下载不安全网站的文件并运行。
7、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
8、下载和新拷贝的文件要首先进行查毒。
9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
10、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论