Trojan-PSW.Win32.QQRob.is病毒的分析及清除方法

dikex

前言：在某论坛样本区上有人发了一个样本，说是NOD32也删除不了，于是下载下来看看，卡巴报为Trojan-PSW.Win32.QQRob.is，本人做了个病毒行为分析已经写了清除的方法，请各位指教


一、运行病毒后首先创建下面的几个文件，而他们的文件名除了ADSAL.CHM外均为随机的（貌似是和各个机子有关），其中9504406F.dat、ADSAL.CHM、04F406.exe（看下文）都是同一个文件，大小为26,112 字节；
C:\Program Files\Common Files\SYSTEM\9504406F.dll
C:\Program Files\Common Files\SYSTEM\9504406F.dat
C:\WINDOWS\Help\ADSAL.CHM


二、接着病毒会把9504406F.dll插入到explorer.exe里面，然后利用explorer.exe进程对注册表作出修改：
1。在常见安全软件在当前用户的服务里面的start这个REG_DWORD值设为4（即禁用该服务）：
HKLM\SYSTEM\ControlSet001\Services\navapsvc
HKLM\SYSTEM\ControlSet001\Services\RsRavMon
HKLM\SYSTEM\ControlSet001\Services\RsCCenter
HKLM\SYSTEM\ControlSet001\Services\kavsvc
HKLM\SYSTEM\ControlSet001\Services\KVSrvXP
HKLM\SYSTEM\ControlSet001\Services\KVWSC
HKLM\SYSTEM\ControlSet001\Services\wscsvc
HKLM\SYSTEM\ControlSet001\Services\KPfwSvc
HKLM\SYSTEM\ControlSet001\Services\KWatchSvc
HKLM\SYSTEM\ControlSet001\Services\SNDSrvc
HKLM\SYSTEM\ControlSet001\Services\无党派人士roxy
HKLM\SYSTEM\ControlSet001\Services\ccEvtMgr
HKLM\SYSTEM\ControlSet001\Services\ccSetMgr
HKLM\SYSTEM\ControlSet001\Services\SPBBCSvc
HKLM\SYSTEM\ControlSet001\Services\Symantec Core LC
HKLM\SYSTEM\ControlSet001\Services\NPFMntor
HKLM\SYSTEM\ControlSet001\Services\MskService
HKLM\SYSTEM\ControlSet001\Services\FireSvc
HKLM\SYSTEM\ControlSet001\Services\McShield
HKLM\SYSTEM\ControlSet001\Services\McTaskManager
HKLM\SYSTEM\ControlSet001\Services\McAfeeFramework
HKLM\SYSTEM\ControlSet001\Services\RfwService
HKLM\SYSTEM\ControlSet001\Services\SKNFW
HKLM\SYSTEM\ControlSet001\Services\SkyProcs
HKLM\SYSTEM\ControlSet001\Services\AVP


2。将常见安全软件在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面键值删除：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavMon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTimer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iDuba Personal FireWall
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVRun
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KpopMon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kulansyn
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McRegWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSKAGENTEXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSKDetectorExe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VirusScan Online
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonudMan
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvPpWall_autorun
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SKYNET Personal FireWall
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jiangmin KVFW
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Rapdateiyr
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonudMan
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonudMam
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\iDuba Personal FireWall
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KvXP


3。在 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面增加数据类型为REG_SZ的值{950994F0-4F04-044F-6509-4646594F0409} ；
接着增加注册项HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409} ；
并在 HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409} 下面增加项InProcServer32，默认值为 C:\Program Files\Common Files\SYSTEM\9504406F.dll，数据类型为REG_SZ ；
在 HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}\InProcServer32 下面增加数据类型为REG_SZ的名称为的ThreadingModel，值为 Apartment ；
这四个注册表的项目能使得9504406F.dll插入到所有的用户进程里面（系统进程没事）；


4。删除下面两个注册表值，他们的默认值都是 DiskDrive，这是记录安全模式下要加载磁盘驱动的，而病毒居然把它删除，这样会导致无法进入安全模式！
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}


三、接着创建两个启动的文件：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\04F406.exe
C:\Documents and Settings\\%username%\「开始」菜单\程序\启动\04F406.exe（%username%为当前用户名）
之后一开始运行的病毒进程将会退出，将控制权完全交给插入到explorer.exe进程里面的9504406F.dll，形成一个无进程木马，而被插入的explorer.exe会每隔三秒重复写入下面的注册表信息，以保证它能插入到所有的用户进程中：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks，数据类型为REG_SZ，名称{950994F0-4F04-044F-6509-4646594F0409}；
HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}；
HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}\InProcServer32，默认值C:\Program Files\Common Files\SYSTEM\9504406F.dll；
HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}\InProcServer32，数据类型为REG_SZ，名称ThreadingModel，值设为Apartment；


四、它还会在C:\Program Files\Common Files\SYSTEM\下创建9504406F.chm文件，里面是一些加密信息，然后弹出IE访问一些广告网站；


五、清除以及修复系统：
1。准备工具：icesword 1.20，下载地址：http://www.ttian.net/website/2005/0829/391.html；

2。打开icesword，点击进程－explorer－右键－模块信息－找到C:\Program Files\Common Files\SYSTEM\9504406F.dll－强行解除，接着explorer.exe会报错，不用理会；

3。转到icesword的“文件”页面那里，然后把C:\Program Files\Common Files\SYSTEM\下面的9504406F.dll、9504406F.dat，C:\WINDOWS\Help\ADSAL.CHM，还有C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ 以及C:\Documents and Settings\%username%\「开始」菜单\程序\启动\ 下面的04F406.exe都删除，另外C:\Program Files\Common Files\SYSTEM\9504406F.chm也删除（如果有的话）；

4。运行regedit，然后把HKCR\CLSID\{950994F0-4F04-044F-6509-4646594F0409}删除，HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的{950994F0-4F04-044F-6509-4646594F0409}删除；

5。转到HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\下面，在Minimal右键－新建－项，名字为{4D36E967-E325-11CE-BFC1-08002BE10318}，选定新建的这个项并双击右边的默认，输入DiskDrive；转到HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\下重复刚才的操作；

6。还有一些安全软件在HKLM\SYSTEM\ControlSet001\Services\下面的值，运行services.msc，将他们由“禁用”改回“自动”或者“手动”；

六、样本，密码为virus

[ 本帖最后由 dikex 于 2007-1-20 19:08 编辑 ]

绅博周幸

AVAST没报

ktm858

驱逐舰没报

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\Trojan-PSW.Win32.QQRob.is'
C:\Documents and Settings\Administrator\My Documents\Trojan-PSW.Win32.QQRob.is\
  04F406.exe
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!
  9504406F.chm
  9504406F.dat
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!
  9504406F.dll
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!
  ADSAL.CHM
      [DETECTION] Is the Trojan horse TR/PSW.QQRob.IS.8
      [INFO]      The file was deleted!

蓝色牛仔裤

驱逐舰没报??蜘蛛报了!!呵呵

The EQs

QQ大盗

moonsilver

图

tlh7705

微点解压后报了三个病毒。

dikex

唉，脆弱的安全模式，脆弱的windows啊！

曲中求

NOD 32 3个全启发杀。其中之一：。。