|
网站首页
|
新闻中心
|
系统安全
|
网络安全
|
安全技术
|
下载中心
|
安全365社区
|
首页
安全动态
IT新闻
安全人物
本站动态
漏洞公告
病毒警报
木马预警
流氓软件
漏洞分析
入侵检测
升级补丁
安全配置
信道安全
设备安全
协议安全
WEB安全
病毒分析
木马研究
脚本注入
后门探讨
技术应用
数据安全
企业专区
收藏本站
设为首页
会员登录:
站内搜索:
新闻中心
系统安全
网络安全
安全技术
下载中心
|
安全技术首页
|
技术研究
|
技术应用
|
数据安全
|
企业专区
|
木马Trojan-PSW.Win32.QQRob.dm分析报告
木马Trojan-PSW.Win32.QQRob.dm分析报告
作者:未知 文章来源:赛迪网 点击数: 更新时间:2007-11-15 1:03:34
Trojan-PSW.Win32.QQRob.dm分析报告
安天实验室 CERT组分析
一、
病毒
标签:
病毒
名称: Trojan-PSW.Win32.QQRob.dm
病毒
类型:
document.clear ();
一流信息监控拦截系统(IMB System)
监控系统提醒您:很抱歉,由于您提交的内容中或访问的内容中含有系统不允许的关键词或者您的IP受到了访问限制,本次操作无效,系统已记录您的IP及您提交的所有数据。请注意,不要提交任何违反国家规定的内容!本次拦截的相关信息为:
document.clear ();close(); document.clear (); document.writeln ("由于页面存在不良信息此页已被关闭"); location.href='about:blank'; l_keylink" href="http://news.anquan365.com/Notice/Virus/" target="_blank">病毒
/
木马
下载传播,可以盗取用户QQ和
网络
游戏的账号与密码。
三、 行为分析:
1、
病毒
运行后释放文件:
%system32%\MsHx.dll
%system32%\mswosck.dll
%system32%\TGDOFU.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " 随机 " = "C:\WINDOWS\system32\TGDOFU.exe"
3、将mswosck.dll插入到EXPLORER.EXE其它应用程序进程中,进行键盘记录,信息收集等目的
4、主动连接
网络
,下载相关
病毒
文件信息:
协议
:UDP
地址:239.255.255.250
端口:1900
进程:svchost.exe(mswosck.dll)
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles%
系统
程序默认安装目录
%HomeDrive% 当前启动
系统
所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒
通过查询操作
系统
来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天
木马
防线可彻底清除此
病毒
(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关
系统
设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天
木马
防线或ATool中的“进程管理”关闭
病毒
进程
强行卸载mswosck.dll
(2) 强行删除
病毒
文件
%system32%\MsHx.dll
%system32%\mswosck.dll
%system32%\TGDOFU.exe
(3) 恢复病毒修改的注册表项目,删除
病毒
添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " 随机 " = "C:\WINDOWS\system32\TGDOFU.exe"
文章录入:郝丽 责任编辑:郝丽
上一篇文章:
木马Email-Worm.Win32.Bagle.gb行为分析
下一篇文章:
木马Trojan-PSW.Win32.QQRob.dm分析报告
【字体:
小
大
】【
发表评论
】【
加入收藏
】【
告诉好友
】【
打印此文
】【
关闭窗口
】
网友评论:
(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
木马Trojan-PSW.Win32.O
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)