【IT专家网独家】病毒名称: Worm.Win32.QQPass.ar
病毒类型: 蠕虫
文件MD5: 8868805AD4648452AF1071269962FDA3
文件长度: 33,404 字节(脱壳前)/113,152 字节(脱壳后)
感染系统: Windows98以上版本
病毒描述:
该病毒属蠕虫类。病毒运行后,复制自身到%Program Files%\Internet Explorer\PLUGINS下,并在该文件夹下衍生病毒文件,修改注册表,添加HOOK项,以达到伴随某些程序启动的目的。
行为分析:
1、文件运行后会释放以下文件
| %Program Files%\Internet Explorer\PLUGINS\SysWin6k.Jmp %Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys |
2、新增注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\inProCserveR32]
注册表值:"@"
类型: REG_SZ
值:"C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys"
描述: 为病毒文件设置ID号
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\InProcServer32]
注册表值:"ThreadingModel"
类型: REG_SZ
值: "Apartment"
描述:设定文件的运行模式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值:"{25799B4A-E35A-4A34-BFE5-07C0784C37C7}"
类型: REG_SZ
值:""
描述: 将病毒文件的ID号添加到HOOK项中,使其随其他程序启动。
注:%Program Files%是一个可变路径。为系统程序默认安装目录。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%\Internet Explorer\PLUGINS\SysWin6k.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\inProCserveR32]
注册表值:"@"
类型: REG_SZ
值:"C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\InProcServer32]
注册表值:"ThreadingModel"
类型: REG_SZ
值: "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值:"{25799B4A-E35A-4A34-BFE5-07C0784C37C7}"
类型: REG_SZ
值:""
代码分析:
(1) 获取窗口相关信息
| 00405297 E8 F8EDFFFF CALL Worm_Win.00404094 ; JMP 到 USER32.GetWindowLongA 从窗口的结构中取得信息
0040529C 6A 00 PUSH 0
0040529E 6A 00 PUSH 0
004052A0 E8 F7EDFFFF CALL Worm_Win.0040409C ; JMP 到 USER32.IsChild 判断是否为另一窗口的子或隶属窗口
004052A5 6A 00 PUSH 0
004052A7 E8 D0EDFFFF CALL Worm_Win.0040407C ; JMP 到 USER32.GetAsyncKeyState 判断函数调用时虚拟键的状态
004052AC 6A 00 PUSH 0
004052AE E8 D9EDFFFF CALL Worm_Win.0040408C ; JMP 到 USER32.GetParent 判断窗口的父窗口
004052B3 68 B0554000 PUSH Worm_Win.004055B0 ; char(tempdllfile\
004052B8 68 C4554000 PUSH Worm_Win.004055C4 ; ASCII "xxx" /参数入栈
004052BD E8 B2EDFFFF CALL Worm_Win.00404074 ; JMP 到 USER32.FindWindowA 寻找符合条件的窗口 |
(2)创建注册表项
| 0040555B 68 64564000 PUSH Worm_Win.00405664
00405560 B9 68564000 MOV ECX,Worm_Win.00405668 ; {25799b4a-e35a-4a34-bfe5-07c0784c37c7}
00405565 BA 90564000 MOV EDX,Worm_Win.00405690 ; software\microsoft\windows\currentversion\explorer\shellexecutehooks
0040556A B8 02000080 MOV EAX,80000002 ; 以上均为参数入栈
0040556F E8 F0F3FFFF CALL Worm_Win.00404964 ; 调用函数实现创建注册表项的功能 |
(3) 删除老版本的病毒文件
00405440 8BD8 MOV EBX,EAX
(4) 在各驱动器根目录下衍生病毒文件,但由于程序本身的问题未能实现。
004044F2 BA 80454000 MOV EDX,Worm_Win.00404580 ; [autorun]\n\nopen=autorun.exe\n\nshellexecute=autorun.exe\n\nshell\打开(&o)\command=autorun.exe
IT专家网原创文章,未经许可,严禁转载!
