病毒描述:
该病毒为QQ盗号木马类,病毒运行后调用API获取系统文件夹路径,调用函数
CreateFileA向系统目录%program files%\internet explorer\plugins\写入病毒
文件;判断该目录是否存在Nv_Win3s.Jmp、NewSys55.Sys病毒文件,如存在则将其删
除并重新创建,修改注册表,添加HOOK项,将“NewSys55.Sys”注册为浏览器辅助对象
(BHO),实现开机自动运行。将NewSys55.Sys病毒文件注入到Explorer.exe进程中,
遍历窗口查找(tencent_qqtoolbar与Tencent_QQBar)QQ登陆窗口,一旦发现QQ登陆
窗口便记录键盘信息,窃取用户的QQ帐号及密码,通过URL发送到木马种植者指定的接收
网址。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%program files%\internet explorer
\plugins\NewSys55.Sys 44,648 字节
%program files%\internet explorer
\plugins\Nv_Win3s.Jmp 30,824 字节
2、修改注册表添加HOOK启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
\InProcServer32]
新建键值: "@"
类型: REG_SZ
字串: “C:\Program Files\Internet Explorer
\PLUGINS\NewSys55.Sys”
描述: 创建病毒键值及病毒路径
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
\InProcServer32]
新建键值: "ThreadingModel"
类型: REG_SZ
字串: “Apartment”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Browser Helper Objects
\{D29DCEE0-457B-45A2-A92D-741B95B7723B}]
描述:将病毒键注册为浏览器辅助对象(BHO),
实现木马开机自动运行
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{D29 DCEE0-457B-45A2-A92D-741B95B7723B}]
字串: “”
描述:添加HOOK项
3、将NewSys55.Sy病毒文件插入Explorer.exe进程中。
4、遍历窗口查找(tencent_qqtoolbar)QQ登陆窗口,一旦发现QQ登陆窗口便记录
键盘信息,窃取用户的QQ用户名和密码。
5、通过URL发送到木马种植者指定的接收网址,木马接收地址:
http://ccc.52***.com/Qq9.asp
解决办法:/mumachasha/2008/0428/2993.html
您的位置: