病毒名称: Trojan-PSW.Win32.QQDragon.bl
病毒类型: 木马
文件 MD5: A0FD84459E5751BDB75CD5CC7D409E69
公开范围: 完全公开
危害等级: 中
文件长度:32,768 字节
感染系统: windows98以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: 无
命名对照: Symentec[Infostealer]
Mcafee[无]
病毒描述:
该病毒属木马类,病毒图标为文本文档图标,用以迷惑用户点击运行。病毒运行后复制自身到%windir%下,且文件名为services.exe,与系统文件%system32%services.exe的名相同,在任务管理器中利用用户名来区分,病毒复制自身到所有非隐藏文件夹中,病毒名随机建立;修改注册表,添加七处启动项,以达到随机启动的目的;访问网络,打开含有病毒的网站;修改Internet Explorer主页,用户打开Internet Explorer时会自动登陆到含有病毒的网站。由于病毒在所有非隐藏文件夹中都建立一个病毒体,所以建议用户在杀毒时用反病毒软件进行全盘扫描,以彻底清除病毒。
行为分析:
1、病毒运行后复制自身到%windir%下,且文件名为services.exe,复制自身到所有非隐藏文件夹中,病毒名随机建立:
%windir%services.exe
2、修改注册表,添加七处启动项,以达到随机启动的目的:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NT
CurrentVersionWindowsRun
键值: 字串: "C:WINDOWSservices.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunservices
键值: 字串: "C:WINDOWSservices.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunservices
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunservicesservices
键值: 字串: "C:WINDOWSservices.exe"
HKEY_CURRENT_USERSoftwareVB and VBA Program Settings
ie20075.0Lock_Url
键值: 字串: "http://www.ahaoz.com"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunservices
键值: 字串: "C:WINDOWSservices.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Runservices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Runservicesservices
键值: 字串: "C:WINDOWSservices.exe"
3、修改Internet Explorer主页:
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
MainStart Page
新建键值: 字串: "http://www.ahaoz.com"
原键值: 字串: "http://www.baidu.com/"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer
MainStart Page
新建键值: 字串: "http://www.ahaoz.com"
原键值: 字串: http://www.microsoft.com/isapi/redir.dll?
prd={SUB_PRD}&clcid= {SUB_CLSID}&pver={SUB_PVER}&ar=home
4、访问网络:
协议:TCP
IP:58.60.249.29:80
本地端口:随机开启本地1024以上端口,如:1158
域名:http://www.ahaoz.com/money01.htm
URL连接:http://www.71game.com/money.htm
5、由于病毒在所有非隐藏文件夹中都建立一个病毒体,所以建议用户在杀毒时用反病毒软件进行全盘扫描,以彻底清除病毒。
注:% windir%是一个可变路径。病毒通过查询操作系统来决定当前windows文件夹的位置。Windows2000/NT中默认的安装路径是C:Winnt,windows95/98/me/xp中默认的安装路径是C:Windows。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%windir%services.exe
所有非隐藏文件夹下的病毒文件
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindows NT
CurrentVersionWindowsRun
键值: 字串: "C:WINDOWSservices.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunservices
键值: 字串: "C:WINDOWSservices.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Runservices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Runservicesservices
键值: 字串: "C:WINDOWSservices.exe"
HKEY_CURRENT_USERSoftwareVB and VBA Program Settingsie2007
5.0Lock_Url
键值: 字串: "http://www.ahaoz.com"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Runservices
键值: 字串: "C:WINDOWSservices.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Runservices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Runservicesservices
键值: 字串: "C:WINDOWSservices.exe"
恢复注册表原键值:
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
MainStart Page
新建键值: 字串: "http://www.ahaoz.com"
原键值: 字串: "http://www.baidu.com/"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer
MainStart Page
新建键值: 字串: "http://www.ahaoz.com"
原键值: 字串: http://www.microsoft.com/isapi/redir.dll?
prd={SUB_PRD}&clcid= {SUB_CLSID}&pver={SUB_PVER}&ar=home
