超级巡警团队监测到冒险岛盗号木马Trojan-PSW.Win32.QQPass.pf,正在传播,该病毒运行后,将截获用户冒险岛的帐号和密码,并将其发给攻击者,以达到侵害用户的目的。超级巡警建议用户使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库,对该程序进行有效地查杀。
一、病毒相关分析
病毒名称:Trojan-PSW.Win32.QQPass.pf
病毒类型:木马类
危险级别:3
感染平台:windows
病毒大小:34,922
S H A 1 :6f3351da63fd6152da4f9be2ccc28f509a911fbb
加壳类型:Upack 0.3.9 beta2s -> Dwing
开发工具:deliph
病毒行为:
1、释放病毒副本:
%ProgramFiles%\360safemxd\svchost.exe
%SystemDrive%\aa.bat
2、执行最新母体副本,调用aa.bat删除母体文件。再删除aa.bat
3、添加注册表项来随机自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safeyh
数值名称:360Safeyh
数值数据:%ProgramFiles% \360safemxd\svchost.exe
4、截获密码过程:
a) 获取目标窗口句柄。
b) 定位用户和密码的框的位置。
c) 模仿冒险岛登陆界面成一个登陆框。
d) 如若获取,则将截获的信息,通过互联网,放送给攻击者。
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。 超级巡警下载地址:超级巡警官网
手工清除方法:
1、结束其正在运行的进程:svchost.exe 用户名为当前用户。
(建议:如果用户对计算机于使用层,请到超级巡警杀毒软件,体积小,速度快,够干净。)
2
、到%ProgramFiles%\360safemxd
目录下清理svchost.exe
3、删除启动项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safeyh
数值名称:360Safeyh
数值数据:%ProgramFiles%\360safemxd\svchost.exe
[size=; font-size: 10.5pt,10.5pt]三、安全建议[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 1[size=; font-size: 10.5pt,10.5pt]
、立即安装或更新防病毒软件并对内存和硬盘全面扫描[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']([size=; font-size: 10.5pt,10.5pt]
推荐安装超级巡警[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'])[size=; font-size: 10.5pt,10.5pt]
。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 2[size=; font-size: 10.5pt,10.5pt]
、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 3[size=; font-size: 10.5pt,10.5pt]
、使用超级巡警的补丁检查功能,及时安装系统补丁。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 4[size=; font-size: 10.5pt,10.5pt]
、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
置为可写或可控制。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 5[size=; font-size: 10.5pt,10.5pt]
、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 6[size=; font-size: 10.5pt,10.5pt]
、禁用不必要的服务。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 7[size=; font-size: 10.5pt,10.5pt]
、及时更新常用软件,尤其是聊天工具。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 8[size=; font-size: 10.5pt,10.5pt]
、不要使用[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']IE[size=; font-size: 10.5pt,10.5pt]
内核的浏览器。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 9[size=; font-size: 10.5pt,10.5pt]
、不要随便打开不明来历的电子邮件,尤其是邮件附件。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 10[size=; font-size: 10.5pt,10.5pt]
、不要随意下载不安全网站的文件并运行。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] 11[size=; font-size: 10.5pt,10.5pt]
、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
注:[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %System% [size=; font-size: 10.5pt,10.5pt]
是一个可变路径,在[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']windows95/98/me[size=; font-size: 10.5pt,10.5pt]
中该变量是指[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']%Windir%\System[size=; font-size: 10.5pt,10.5pt]
,在[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']WindowsNT/2000/XP/2003/VISTA[size=; font-size: 10.5pt,10.5pt]
中该变量指[size=; font-size: 10.5pt,10.5pt][font='Times New Roman']%Windir%\System32[size=; font-size: 10.5pt,10.5pt]
。其它:[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %SystemDrive% [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
系统安装的磁盘分区[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %SystemRoot% = %Windir% [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] WINDODWS[size=; font-size: 10.5pt,10.5pt]
系统目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %ProgramFiles%[size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
应用程序默认安装目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %AppData% [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
应用程序数据目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %CommonProgramFiles%[size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
公用文件目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %HomePath% [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
当前活动用户目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %Temp% =%Tmp% [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
当前活动用户临时目录[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'][size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] %DriveLetter% [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font='Times New Roman'] [size=; font-size: 10.5pt,10.5pt]
逻辑驱动器分区