国内资深黑客详谈Trojan-PSW盗号木马

　　（5）当记录指定次数后，将3，4中记录的信息和图片通过电子邮件发送到webmaster@****.com。

　　（6）发送成功后，病毒将自身删除，但4中生成的.bmp图片并未被删除。

　　4.Trojan-PSW.Win32.QQRob（啊啦大盗）

　　啊啦大盗是一个窃取QQ密码的经典木马程序，当感染该病毒后，会出现无故弹出一些网页广告，使得某些反病毒软件不能正常运行，QQ密码丢失等现象。

　　具体行为分析：

　　1.该木马隐藏于一个畸形的CHM文件中，打开这个CHM文件，木马就会被自动释放出来并且得到执行；

　　2.木马被释放到%SYSTEM%目录，名为“NTdhcp.exe”，具有“隐藏”、“系统”和“只读”属性；

　　3.修改注册表，在注册表启动项

　　HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下，

　　添加如下值："NTdhcp"="%SYSTEM%\NTdhcp.exe"

　　4.删除大量反病毒软件的在注册表启动项中的值：

　　KAVPersonal50RavMonRavTimerKvMonXPiDuba Personal FireWall

　　KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAV CfgWiz

　　MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe

　　VirusScan OnlineVSOCheckTaskNetwork Associates Error Reporting Service

　　KavStartKWatch9x

　　5.设置注册表中下列各项的“Start”值为4，从而禁止这些反病毒服务程序：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework

　　6.监视禁止以下反病毒进程：

　　FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE

　　RAVTIMER.EXE KVXP.KXP KVCENTER.KXP Iparmor.exe MAILMON.EXE

　　KAVPFW.EXE KmailMon.EXE KAVStart.exe KATMain.EXE TrojanDetector.EXE

　　KVFW.EXE KVMonXP.KXP KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE

　　KAV32.EXE CCAPP.EXE MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE

　　EGHOST.EXE KRegEx.exe TrojDie.kxp KVOL.exe kvolself.exe KWatch9x.exe

　　四、Trojan-PSW木马防范

　　Trojan-PSW木马的出现标志着网络攻击事件已经不再是单纯的技术突破，而更倾向于经济利益的获取，如何去防范这类木马的破坏行为已经成为人们日益关注的问题了。

　　1.保持高度的警惕性，不要轻易点击网上的链接，在接受到文件后，先使用杀毒软件进行检查。

　　2.经常检查电脑状态，是否有可疑进程运行、是否有不熟悉的文件、启动项和注册表键值、是否有不正常的网络连接行为、是否被开放不熟悉的端口等。

　　3.妥善存储帐号密码一类的敏感信息资料。

　　4.在做网上交易的时候，尽量使用软键盘操作，有能力的，还是建议使用银行开发出的u盾或其他移动存储设备。

　　5.不去访问一些小的网站，以免被种植上木马，勤升级病毒库和及时打微软或linux系统的补丁。

　　综述：

　　随着个人利益的追求最大话，越来越多的技术性选手开始走向黑色经济那边，他们将更多的木马和底层黑客工具进行捆绑，开发出免杀的dll木马并和盗号木马进行合并，组成新型的黑客攻击工具。从以上的这些分析的数据来看，对手的编写水平是在突飞猛进的增长，对我们也是一个强大的考验，这种盗号木马的出现，更说明了他的背后有很广阔的市场，有很强大的地下交易市场，所谓治病需除根，呼吁有关部门还是要严查这些地下市场，切断其根部，断了它那源源不断的黑色血液，在这里也给那些刚出校门的或者还在校园里面，平时喜欢使用一些黑客工具的人，从最近几个朋友给我聊天和询问的情况来看，红狼小组开发的这个远程控制很受欢迎，对于个人用户来说十分有效，但是，在这里我忠心的告诉你们，不要以为会玩几个黑客工具就能当黑客，真正的黑客根本不会去无聊到黑个人机器，学校服务器等，可能由于一些爱好和兴趣，早先黑过一些机器，但是黑完以后他也要面临巨大的代价，请你们把精力用在学习上，不要幻想着开发一个病毒，黑下一个知名站点而觉得能一下成名，“钱”途无量。

　　同时针对这样的盗号木马我和安天的cert小组也配套开发出了一些专用检查工具，在这里我还是要感谢安天cert全体小组成员的大力支持和帮助，也要感谢诚信网安团队成员能积极的对一些用户提交的可疑病毒进行逆向分析，在短时间内完成专杀工具的开发，还要感谢我身边的王清、王琪两个兄弟的帮忙。