科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道hsiwij.exe,Trojan-PSW.Win32.QQPass.ljl

hsiwij.exe,Trojan-PSW.Win32.QQPass.ljl

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Trojan-PSW.Win32.QQPass.ljl被执行后,修改系统时间为“2004”年,以此使依赖时间机制的病毒防御软件监控失效;在系统目录%SystemRoot%\system32下释放病毒拷贝“severe.exe”与“hsiwij.exe”、及其动态链接库文件“hsiwij.dll”,在目录%SystemRoot%\system32\drivers\下释放病毒拷贝

来源:论坛整理 2008年12月6日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件

Trojan-PSW.Win32.QQPass.ljl被执行后,修改系统时间为“2004”年,以此使依赖时间机制的病毒防御软件监控失效;在系统目录%SystemRoot%\system32下释放病毒拷贝“severe.exe”与“hsiwij.exe”、及其动态链接库文件“hsiwij.dll”,在目录%SystemRoot%\system32\drivers\下释放病毒拷贝“conime.exe”和“tekkdv.exe”;使用API函数 ShellExecuteA分别执行上述释放的可执行文件;遍历系统当前进程查找“QQ.EXE”,找到后将其结束;修改如下注册表健值,使得文件 “severe.exe”,“hsiwij.exe”以及“conime.exe”实现开机自启动。

项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
健值:tekkdv
指向数据:C:\WINDOWS\system32\hsiwij.exe
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
健值:hsiwij
指向数据:C:\WINDOWS\system32\severe.exe
项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
健值:Shell
指向数据:Explorer.exe C:\WINDOWS\system32\drivers\conime.exe

动态库“hsiwij.dll”被装载运行后,通过API函数SetWindowsHookExA设置全局钩子试图将自身注入到所有进程中,查找QQ的登陆窗口,通过监视“鼠标”“键盘”消息来获取 “帐号”、“密码”,把所获信息通过“邮件”的方式发给盗号者。
病毒主程序运行后,还会执行以下动作,以更好的为盗号和病毒传播服务:
查找如下安全软件的服务
RsRavMon
KVSrvXP
RsCCenter
Kavsvc
KVWSC
使用net stop命令停止上述服务,调用命令“sc config 服务名 start= disabled”
禁用上述服务。
修改注册表映像劫持如下程序到病毒程序“tekkdv.exe”,使得部分安全软件无法启动:

360Safe.exe
adam.exe
avp.com
avp.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
msconfig.com
msconfig.exe
NOD32.exe
PFW.exe
QQDoctor.exe
TrojDie.kxp

修改如下注册表键值隐藏病毒体使其不被显示出来同时开启系统自动播放功能

项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值:CheckedValue: 0x00000000(原值为0x00000001)
项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
键值:NoDriveTypeAutoRun: 0x000000B5

修改hosts文件,屏蔽部分安全网站:
127.0.0.1       mmsk.cn
127.0.0.1       ikaka.com
127.0.0.1       safe.qq.com
127.0.0.1       360safe.com
127.0.0.1       www.mmsk.cn
127.0.0.1       www.ikaka.com
127.0.0.1       tool.ikaka.com
127.0.0.1       www.360safe.com
127.0.0.1       zs.kingsoft.com
127.0.0.1       forum.ikaka.com
127.0.0.1       up.rising.com.cn
127.0.0.1       scan.kingsoft.com
127.0.0.1       kvup.jiangmin.com
127.0.0.1       reg.rising.com.cn
127.0.0.1       update.rising.com.cn
127.0.0.1       update7.jiangmin.com
127.0.0.1       download.rising.com.cn

查找窗口名为如下字符的窗口,通过向其发送WM_QUIT以及模仿相应鼠标动作使其退出:

木马
瑞星
瑞星提示
KingsoftAntivirusScanProgram7Mutex
SKYNET_PERSONAL_FIREWALL
AntiTrojan3721

枚举盘符在除系统盘以外的其他盘中释放隐藏病毒副本OSO.exe和autorun.inf,靠自动播放功能来传播病毒。

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号