社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 1954阅读
  • 0回复

[分享]Trojan-PSW.Win32.QQPass.pf分析与解决方案

 楼层直达
ssouan
级别: 光盘见习
发帖
19
飞翔币
27
威望
3
飞扬币
75
信誉值
0
只看楼主 更多操作 0 发表于: 2011-06-07
— 本帖被 霸王硬上弓 从 〖新人报到〗 移动到本区(2011-06-07) —

超级巡警团队监测到冒险岛盗号木马Trojan-PSW.Win32.QQPass.pf,正在传播,该病毒运行后,将截获用户冒险岛的帐号和密码,并将其发给攻击者,以达到侵害用户的目的。超级巡警建议用户使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库,对该程序进行有效地查杀。
一、病毒相关分析
病毒名称:Trojan-PSW.Win32.QQPass.pf
病毒类型:木马类
危险级别:3
感染平台:windows
病毒大小:34,922
S H A 1 6f3351da63fd6152da4f9be2ccc28f509a911fbb
加壳类型:Upack 0.3.9 beta2s -> Dwing
开发工具:deliph
病毒行为:
1、释放病毒副本:
%ProgramFiles%\360safemxd\svchost.exe
%SystemDrive%\aa.bat
2、执行最新母体副本,调用aa.bat删除母体文件。再删除aa.bat
3、添加注册表项来随机自启动
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safeyh
  数值名称:360Safeyh
  数值数据:%ProgramFiles% \360safemxd\svchost.exe
4、截获密码过程:
a)         获取目标窗口句柄。
b)        定位用户和密码的框的位置。
c)         模仿冒险岛登陆界面成一个登陆框
d)        如若获取,则将截获的信息,通过互联网,放送给攻击者。
二、解决方案
   推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。   超级巡警下载地址:超级巡警官网
手工清除方法:
   1、结束其正在运行的进程:svchost.exe 用户名为当前用户。
  (建议:如果用户对计算机于使用层,请到超级巡警杀毒软件,体积小,速度快,够干净。)

   2、到%ProgramFiles%\360safemxd目录下清理svchost.exe
   3、删除启动项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safeyh
  数值名称:360Safeyh
  数值数据:%ProgramFiles%\360safemxd\svchost.exe
[size=; font-size: 10.5pt,10.5pt]三、安全建议[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     1[size=; font-size: 10.5pt,10.5pt]、立即安装或更新防病毒软件并对内存和硬盘全面扫描[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']([size=; font-size: 10.5pt,10.5pt]推荐安装超级巡警[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'])[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     2[size=; font-size: 10.5pt,10.5pt]、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     3[size=; font-size: 10.5pt,10.5pt]、使用超级巡警的补丁检查功能,及时安装系统补丁。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     4[size=; font-size: 10.5pt,10.5pt]、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']  [size=; font-size: 10.5pt,10.5pt]置为可写或可控制。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     5[size=; font-size: 10.5pt,10.5pt]、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     6[size=; font-size: 10.5pt,10.5pt]、禁用不必要的服务。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     7[size=; font-size: 10.5pt,10.5pt]、及时更新常用软件,尤其是聊天工具。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     8[size=; font-size: 10.5pt,10.5pt]、不要使用[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']IE[size=; font-size: 10.5pt,10.5pt]内核的浏览器。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     9[size=; font-size: 10.5pt,10.5pt]、不要随便打开不明来历的电子邮件,尤其是邮件附件。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     10[size=; font-size: 10.5pt,10.5pt]、不要随意下载不安全网站的文件并运行。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     11[size=; font-size: 10.5pt,10.5pt]、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]注:[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %System% [size=; font-size: 10.5pt,10.5pt]是一个可变路径,在[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']windows95/98/me[size=; font-size: 10.5pt,10.5pt]中该变量是指[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']%Windir%\System[size=; font-size: 10.5pt,10.5pt],在[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']WindowsNT/2000/XP/2003/VISTA[size=; font-size: 10.5pt,10.5pt]中该变量指[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']%Windir%\System32[size=; font-size: 10.5pt,10.5pt]。其它:[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %SystemDrive% [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']            [size=; font-size: 10.5pt,10.5pt]系统安装的磁盘分区[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %SystemRoot% = %Windir% [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']   WINDODWS[size=; font-size: 10.5pt,10.5pt]系统目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %ProgramFiles%[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]    [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']         [size=; font-size: 10.5pt,10.5pt]应用程序默认安装目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %AppData% [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']                 [size=; font-size: 10.5pt,10.5pt]应用程序数据目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %CommonProgramFiles%[size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']          [size=; font-size: 10.5pt,10.5pt]公用文件目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %HomePath% [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']              [size=; font-size: 10.5pt,10.5pt]当前活动用户目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %Temp% =%Tmp% [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     [size=; font-size: 10.5pt,10.5pt]当前活动用户临时目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     %DriveLetter% [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']     [size=; font-size: 10.5pt,10.5pt]  [size=; font-size: 10.5pt,10.5pt][font='Times New Roman']             [size=; font-size: 10.5pt,10.5pt]逻辑驱动器分区
关键词: 软件 系统 更新 下载 bot
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
http://www.sucop.com/
回复 引用
举报
发帖 回复
« 返回列表