盗号木马Trojan-PSW.Win32.QQPass.iz

　　Trojan-PSW.Win32.QQPass.izs

　　捕获时间

　　2008-04-15

　　病毒症状

　　该程序是使用Delphi编写的盗号程序，由微点主动防御软件自动捕获，采用NsPacK加壳方式试图躲避特征码扫描,加壳后长度为37,027字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑的方式传播。

　　病毒分析

　　该木马程序被执行后，遍历进程查找qq.exe、360tray.exe、360Safe.exe、TXPlatform.exe将其关闭；枚举窗口依次查找窗口类名为__AVP.Root、AVP.Tray的窗口，以及使用API函数PathFileExistsA检查C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\目录下是否存在avp.exe，如果能找到上述两个窗口或一个文件中的其中一个，则修改系统时间使其不能正常使用；在目录%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\下释放动态库atmQQ2.dll，修改文件属性为隐藏、系统；修改如下注册表键值使进程explorer.exe以及由explorer.exe启动的进程自动加载动态库atmQQ2.dll；

　　Quote:

　　项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

　　键值：{D544C22D-1F70-4B1E-873D-D8DABEB26695}

　　指向数据：

　　项：HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32\

　　键值：默认

　　指向数据：%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll

　　atmQQ2.dll加载运行后，试图通过全局挂钩将动态库atmQQ2.dll注入到所有进程中；删除QQDoctor目录下QQDoctor.exe；查看所在进程是否为QQ.EXE，如果是则记录键盘和鼠标操作，以这种方式盗取用户QQ号和密码以及其他一些私人信息，以收信空间和邮箱收信的形式发送给木马种植者；调用批处理将病毒原文件删除。

　　感染对象

　　Windows 2000/Windows XP/Windows 2003

　　传播途径

　　网页木马、文件捆绑

　　安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-PSW.Win32.QQPass.izs”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　3、开启windows自动更新，及时打好漏洞补丁。