日期:2008-04-16
病毒名称:Trojan-PSW.Win32.QQPass.izs
病毒类型:盗号程序
危害指数:2
传播途径:网页木马/文件捆绑
传播平台:WIN9X/WINME/WINNT/Windows 2000/Windows XP/Windows 2003
该程序是使用Delphi编写的盗号程序,采用NsPacK加壳方式试图躲避特征码扫描,加壳后长度为37,027字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑的方式传播。 该木马程序被执行后,遍历进程查找qq.exe、360tray.exe、360Safe.exe、TXPlatform.exe将其关闭;枚举窗口依次查找窗口类名为__AVP.Root、AVP.Tray的窗口,以及使用API函数PathFileExistsA检查C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\目录下是否存在avp.exe,如果能找到上述两个窗口或一个文件中的其中一个,则修改系统时间使其不能正常使用;在目录%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\下释放动态库atmQQ2.dll,修改文件属性为隐藏、系统;修改如下注册表键值使进程explorer.exe以及由explorer.exe启动的进程自动加载动态库atmQQ2.dll;
.jpg)
atmQQ2.dll加载运行后,试图通过全局挂钩将动态库atmQQ2.dll注入到所有进程中;删除QQDoctor目录下QQDoctor.exe;查看所在进程是否为QQ.EXE,如果是则记录键盘和鼠标操作,以这种方式盗取用户QQ号和密码以及其他一些私人信息,以收信空间和邮箱收信的形式发送给木马种植者;调用批处理将病毒原文件删除。
墨者安全专家建议:
1.请开启墨者安全专家的“革离术”并根据提示创建安全用户,在安全用户下将获得墨者安全专家的实时防护,根据“革离术”特有的技术,判定为正常软件,给予默认放行。将陌生的的程序,提示给用户,然用户自行进行判断,将识别的恶意程序,给予“革离”使其失去运行的环境无法造成对系统的侵害。
2.建议已安装其他杀毒软件的用户,下载并安装墨者安全专家版,并开启“革离术”保护自己的杀毒软件,和其它计算机安全软件不会被此病毒所关掉,和破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。
3.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。
4.请开启墨者安全专家的“革离术”进行实时防护,并使用系统安全漏洞中心,检查系统漏洞,发现漏洞请点击“修复”完成漏洞修补。
5.保持使用墨者安全豪华版套装中的正版趋势反病毒专家,进行对系统病毒经常扫描的习惯,发现病毒或者隐患及时清除。
6.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启,保持自动更新为最新病毒库,保证病毒及木马的及时发现及清除。
墨者安全专家最佳保护状态:
.jpg)