病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
21289
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个QQ盗号木马。它会将盗去的帐号密码提交给指定的处理网页,
而且该病毒隐秘性很强,建议电脑用户升级杀毒软件,
不要随便运行不名来历的程序,以免中毒受害。
1、生成的文件
%SystemRoot%\system32\Drivers\ksld.sys
%ProgramFiles%\Tencent\QQ\TIMPlatfrom.exe
%SystemRoot%\system32\wdm.exe
2、添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"KernelFaultCheck"="%SystemRoot%\system32\wdm.exe"
3、该病毒运行时会吧QQ目录下TIMPlatform.exe文件TIMPlatfrom.exe,
然后将自身复制到该目录,命名为TIMPlatform.exe,并设置属性为隐藏,
这样在运行QQ程序的同时病毒也运行起来。
4、该病毒修改exe文件关联。
5、该病毒运行时会尝试结束以下程序
SERVICES.EXE
SMSS.EXE
CSRSS.EXE
WINLOGON.EXE
LSASS.EXE
SVCHOST.EXE
ALG.EXE
TIMPLATFORM.EXE
RUNDLL32.EXE
6、该病毒为了避免杀毒软件查杀,采用名称加密,动态获取一些驱动级的NativeAPI进行免杀。
7、该病毒使用了两个不同的加密算法保存加密信息,其中一处经过简单加密保存了一些加密信息,
主要算法是加密字符串逐个字节与0xC8做异或运算。下面是解密后的信息:
"\\Drivers\\ksld.sys"
"RtlInitUnicodeString"
"ZwSetSystemInformation"
"ZwQuerySystemInformation"
"KeServiceDescriptorTable"
"SERVICES.EXE,SMSS.EXE,CSRSS.EXE,WINLOGON.EXE,LSASS.EXE,SVCHOST.EXE,ALG.EXE,TIMPLATFORM.EXE,RUNDLL32.EXE"
"SOFTWARE\\TENCENT\\PLATFORM_TYPE_LIST\\1"
"TIMPlatform.exe"
"exefile\\shell\\open\\command"
"SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion"
8、该病毒运行后会删除原病毒文件。
9、该病毒文件的版本信息
产品版本:5.1.2600.0
产品名称:Microsoft?Windows?OperatingSystem
公司:MicrosoftCorporation
内部名称:wdm
文件版本:5.1.2600.0
语言:中文(中国)
源文件名:wdm.exe
描述:MicrosoftWdmControl
版权:?MicrosoftCorporation.Allrightsreserved.