QQ盗号木马Trojan-PSW.Win32.QQPass.lqq

Trojan-PSW.Win32.QQPass.lqq

捕获时间

2008-11-9

病毒摘要

该样本是使用“Delphi”编写的“QQ盗号程序”，由微点主动防御软件自动捕获，采用“UPX”加壳方式试图躲避特征码扫描，加壳后长度为36,487 字节，图标为，病毒扩展名为“exe”，通过“网页木马”、“下载器下载”等途径植入用户计算机，运行后伺机盗取“QQ”的“帐号”和“密码”。


感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）；

   图1 主动防御自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.QQPass.lqq”，请直接选择删除（如图2）。

     图2   升级后截获已知病毒

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

病毒分析

该样本被执行后，在“%CommonProgramFiles%\Microsoft Shared\MSInfo”文件夹内备份自身为“MrSoft.dll”，随后释放其动态库文件“MrSoft.sys”，并将以上文件设置为隐藏属性，企图减小用户发现病毒几率，之后修改注册表使进程“explorer.exe”以及由其启动的进程启动后自动加载此文件。
相关注册表键值如下：

随后，病毒将释放批处理文件“MicroSoft.bat”到自身所在目录，执行批处理，删除病毒原文件。
动态库“MrSoft.sys”被加载执行后，遍历进程查找“QQ.exe”，找到后将尝试删除“QQ.exe”所在目录下的“npkcrypt.sys”，企图破坏QQ自身密码保护机制，第一次发现“QQ.exe”进程后，将于数秒后关闭QQ，企图迫使用户再次输入登陆信息；当用户再次登录QQ时，通过监视QQ登陆窗口各控件，获取其键盘消息，获得用户输入的QQ号码、密码信息。利用获取后的QQ号码以及密码信息访问：
http ://pay-client.qq.com/cgi-bin/mypurse?clientuin=
尝试获取用户QQ号码所携带的“Q币”、“游戏积分”、“游戏点”等信息，最终病毒将以邮箱收信及空间收信方式将用户QQ信息上传至黑客指定地址。