病毒名称: Trojan-PSW.Win32.QQPass.uv
病毒类型: 木马
文件 MD5: 83B8055939FC1D83CF717B347FA81340
公开范围: 完全公开
危害等级: 3
文件长度: 31,974 字节
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型 : Upack 0.3.9
病毒描述:
该病毒属木马类,病毒图标为文本文档图标,用以迷惑用户点击运行。病毒运行后复制自身到 %system32% 下三个病毒文件,文件名分别为 hpxger.exe 、 severe.exe 、 verclsid.dat ,并释放病毒文件 hpxger.dll ,复制自身到 %system32%drivers 下,病毒名为 nvhcnd.com ;在非系统盘根目录下(不包括移动设备)复制自身文件名为 oso.exe ,释放病毒文件 autorun.inf ;修改注册表,添加启动项,以达到随机启动的目的;系统中的某些软件被其映像劫持;修改 hosts 文件,屏蔽对病毒运行有威胁的网站;锁定对隐藏文件的显示,使用户无法查看并删除具有隐藏属性的病毒文件。
行为分析:
1 、 病毒运行后复制自身到 %system32% 及其附属文件夹下
%system32%drivers
vhcnd.com
%system32%hpxger.dll
%system32%hpxger.exe
%system32%severe.exe
%system32%verclsid.dat
% 非系统盘根目录 % oso.exe
% 非系统盘 根目录 % autorun.inf
2 、 修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
新键值 : 字串 : "Shell"="Explorer.exe C:WINNTsystem32severe.exe"
旧键值 : 字串 : "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "nvhcnd"="C:WINNTsystem32hpxger.exe"
3 、 修改 hosts 文件,屏蔽对病毒运行有威胁的网站:
127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
4 、 映像劫持一些对其有威胁作用的软件 :
注册表位置
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options\% 被映像劫持的软件的执行文件的文件名称 %Debugger
键值 : 字符串 : "C:WINNTsystem32drivers
vhcnd.com"
被劫持软件列表:
360Safe.exe 、 adam.exe 、 avp.com 、 avp.exe 、 EGHOST.exe 、 IceSword.exe 、 iparmo.exe 、 kabaload.exe 、 KRegEx.exe 、 KvDetect.exe 、 KVMonXP.kxp 、 KvXP.kxp 、 MagicSet.exe 、 mmsk.exe 、 msconfig.com 、 msconfig.ex 、 NOD32.exe 、 PFW.exe 、 PFWLiveUpdate.exe 、 QQDoctor.exe 、 Ras.exe 、 Rav.exe 、 RavMon.exe 、 regedit.com 、 regedit.exe 、 runiep.exe 、 runiep.exe 、 SREng.EXE 、 TrojDie.kxp 、 WoptiClean.exe 。
5 、 锁定对隐藏文件的显示,使用户无法查看并删除具有隐藏属性的病毒文件。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLCheckedValue
新键值 : 字串 : "0"
旧键值 : DWORD: 1 (0x1)
注: %system32% 是一个可变路径。病毒通过查询操作系统来决定当前 system32 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:Winntsystem32 , windows95/98/me/xp 中默认的安装路径是 C:Windowssystem32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程
(2) 删除病毒文件:
%system32%drivers
vhcnd.com
%system32%hpxger.dll
%system32%hpxger.exe
%system32%verclsid.dat
% 非系统盘根目录 % oso.exe
% 非系统盘 根目录 % autorun.inf
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "nvhcnd"="C:WINNTsystem32hpxger.exe"
恢复注册表原键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion
Winlogon
新键值 : 字串 : "Shell"="Explorer.exe C:WINNTsystem32severe.exe"
旧键值 : 字串 : "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLCheckedValue
新键值 : 字串 : "0"
旧键值 : DWORD: 1 (0x1)
注:在对显示隐藏文件的锁定键值进行修改时,由于病毒改变了该键的数据类型,更改时,须将原“字串”类型的键删除,再创建“ DWORD ”类型的键并附值。