查看: 5552|回复: 11
收起左侧

Trojan-PSW.Win32.QQRob.is病毒的分析及清除方法

[复制链接]
dikex
发表于 2007-1-20 13:40:45 | 显示全部楼层 |阅读模式
前言:在某论坛样本区上有人发了一个样本,说是NOD32也删除不了,于是下载下来看看,卡巴报为Trojan-PSW.Win32.QQRob.is,本人做了个病毒行为分析已经写了清除的方法,请各位指教


一、运行病毒后首先创建下面的几个文件,而他们的文件名除了ADSAL.CHM外均为随机的(貌似是和各个机子有关),其中9504406F.dat、ADSAL.CHM、04F406.exe(看下文)都是同一个文件,大小为26,112 字节;
C:\Program Files\Common Files\SYSTEM\9504406F.dll
C:\Program Files\Common Files\SYSTEM\9504406F.dat
C:\WINDOWS\Help\ADSAL.CHM


二、接着病毒会把9504406F.dll插入到explorer.exe里面,然后利用explorer.exe进程对注册表作出修改:
1。在常见安全软件在当前用户的服务里面的start这个REG_DWORD值设为4(即禁用该服务):
HKLM\SYSTEM\ControlSet001\Services\navapsvc
HKLM\SYSTEM\ControlSet001\Services\RsRavMon
HKLM\SYSTEM\ControlSet001\Services\RsCCenter
HKLM\SYSTEM\ControlSet001\Services\kavsvc
HKLM\SYSTEM\ControlSet001\Services\KVSrvXP
HKLM\SYSTEM\ControlSet001\Services\KVWSC
HKLM\SYSTEM\ControlSet001\Services\wscsvc
HKLM\SYSTEM\ControlSet001\Services\KPfwSvc
HKLM\SYSTEM\ControlSet001\Services\KWatchSvc
HKLM\SYSTEM\ControlSet001\Services\SNDSrvc
HKLM\SYSTEM\ControlSet001\Services\无党派人士roxy
HKLM\SYSTEM\ControlSet001\Services\ccEvtMgr
HKLM\SYSTEM\ControlSet001\Services\ccSetMgr
HKLM\SYSTEM\ControlSet001\Services\SPBBCSvc
HKLM\SYSTEM\ControlSet001\Services\Symantec Core LC
HKLM\SYSTEM\ControlSet001\Services\NPFMntor
HKLM\SYSTEM\ControlSet001\Services\MskService
HKLM\SYSTEM\ControlSet001\Services\FireSvc
HKLM\SYSTEM\ControlSet001\Services\McShield
HKLM\SYSTEM\ControlSet001\Services\McTaskManager
HKLM\SYSTEM\ControlSet001\Services\McAfeeFramework
HKLM\SYSTEM\ControlSet001\Services\RfwService
HKLM\SYSTEM\ControlSet001\Services\SKNFW
HKLM\SYSTEM\ControlSet001\Services\SkyProcs
HKLM\SYSTEM\ControlSet001\Services\AVP


2。将常见安全软件在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面键值删除:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavMon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTimer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iDuba Personal FireWall
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVRun
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KpopMon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kulansyn
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McRegWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSKAGENTEXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSKDetectorExe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VirusScan Online
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonudMan
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvPpWall_autorun
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SKYNET Personal FireWall
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jiangmin KVFW
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Rapdateiyr
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonudMan
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonudMam
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\iDuba Personal FireWall
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KvXP


3。在 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面增加数据类型为REG_SZ的值{950994F0-4F04-044F-6509-4646594F0409}
接着增加注册项HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}
并在 HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409} 下面增加项InProcServer32,默认值为 C:\Program Files\Common Files\SYSTEM\9504406F.dll,数据类型为REG_SZ
HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}\InProcServer32 下面增加数据类型为REG_SZ的名称为的ThreadingModel,值为 Apartment
这四个注册表的项目能使得9504406F.dll插入到所有的用户进程里面(系统进程没事);


4。删除下面两个注册表值,他们的默认值都是 DiskDrive,这是记录安全模式下要加载磁盘驱动的,而病毒居然把它删除,这样会导致无法进入安全模式!
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}


三、接着创建两个启动的文件:
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\04F406.exe
C:\Documents and Settings\\%username%\「开始」菜单\程序\启动\04F406.exe(%username%为当前用户名)
之后一开始运行的病毒进程将会退出,将控制权完全交给插入到explorer.exe进程里面的9504406F.dll,形成一个无进程木马,而被插入的explorer.exe会每隔三秒重复写入下面的注册表信息,以保证它能插入到所有的用户进程中:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,数据类型为REG_SZ,名称{950994F0-4F04-044F-6509-4646594F0409};
HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409};
HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}\InProcServer32,默认值C:\Program Files\Common Files\SYSTEM\9504406F.dll;
HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}\InProcServer32,数据类型为REG_SZ,名称ThreadingModel,值设为Apartment;


四、它还会在C:\Program Files\Common Files\SYSTEM\下创建9504406F.chm文件,里面是一些加密信息,然后弹出IE访问一些广告网站;


、清除以及修复系统:
1。准备工具:icesword 1.20,下载地址:http://www.ttian.net/website/2005/0829/391.html

2。打开icesword,点击进程-explorer-右键-模块信息-找到C:\Program Files\Common Files\SYSTEM\9504406F.dll-强行解除,接着explorer.exe会报错,不用理会;

3。转到icesword的“文件”页面那里,然后把C:\Program Files\Common Files\SYSTEM\下面的9504406F.dll、9504406F.dat,C:\WINDOWS\Help\ADSAL.CHM,还有C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ 以及C:\Documents and Settings\%username%\「开始」菜单\程序\启动\ 下面的04F406.exe都删除,另外C:\Program Files\Common Files\SYSTEM\9504406F.chm也删除(如果有的话);

4。运行regedit,然后把HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}删除,HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的{950994F0-4F04-044F-6509-4646594F0409}删除;

5。转到HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\下面,在Minimal右键-新建-项,名字为{4D36E967-E325-11CE-BFC1-08002BE10318},选定新建的这个项并双击右边的默认,输入DiskDrive;转到HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\下重复刚才的操作;

6。还有一些安全软件在HKLM\SYSTEM\ControlSet001\Services\下面的值,运行services.msc,将他们由“禁用”改回“自动”或者“手动”;

六、样本,密码为virus

[ 本帖最后由 dikex 于 2007-1-20 19:08 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +5 收起 理由
绅博周幸 + 5 加分鼓励

查看全部评分

绅博周幸
发表于 2007-1-20 13:50:40 | 显示全部楼层
AVAST没报
ktm858
发表于 2007-1-20 13:53:49 | 显示全部楼层
驱逐舰没报
mofunzone
发表于 2007-1-20 14:05:23 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\Trojan-PSW.Win32.QQRob.is'
C:\Documents and Settings\Administrator\My Documents\Trojan-PSW.Win32.QQRob.is\
  04F406.exe
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!
  9504406F.chm
  9504406F.dat
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!
  9504406F.dll
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!
  ADSAL.CHM
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!
蓝色牛仔裤
发表于 2007-1-20 17:15:17 | 显示全部楼层

回复 #3 ktm858 的帖子

驱逐舰没报??蜘蛛报了!!呵呵
The EQs
发表于 2007-1-20 17:52:13 | 显示全部楼层
QQ大盗
moonsilver
发表于 2007-1-21 00:27:13 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
tlh7705
发表于 2007-1-21 09:44:28 | 显示全部楼层
微点解压后报了三个病毒。
dikex
 楼主| 发表于 2007-1-21 11:47:02 | 显示全部楼层
唉,脆弱的安全模式,脆弱的windows啊!
曲中求
发表于 2007-1-22 14:15:28 | 显示全部楼层
NOD 32 3个全启发杀。其中之一:。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-1 00:32 , Processed in 0.144886 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表