木马Trojan-PSW.Win32.QQRob.dm分析报告

首页	安全动态	IT新闻	安全人物	本站动态	漏洞公告	病毒警报	木马预警
流氓软件	漏洞分析	入侵检测	升级补丁	安全配置	信道安全	设备安全	协议安全
WEB安全	病毒分析	木马研究	脚本注入	后门探讨	技术应用	数据安全	企业专区

收藏本站

设为首页



	会员登录：

站内搜索：新闻中心系统安全网络安全安全技术下载中心

木马Trojan-PSW.Win32.QQRob.dm分析报告

作者：未知文章来源：赛迪网点击数：更新时间：2007-11-15 1:03:34

Trojan-PSW.Win32.QQRob.dm分析报告

安天实验室 CERT组分析

一、病毒标签：

病毒名称： Trojan-PSW.Win32.QQRob.dm
病毒类型： document.clear (); 一流信息监控拦截系统(IMB System)

监控系统提醒您：很抱歉，由于您提交的内容中或访问的内容中含有系统不允许的关键词或者您的IP受到了访问限制，本次操作无效，系统已记录您的IP及您提交的所有数据。请注意，不要提交任何违反国家规定的内容！本次拦截的相关信息为：

document.clear ();close(); document.clear (); document.writeln ("由于页面存在不良信息此页已被关闭"); location.href='about:blank'; l_keylink" href="http://news.anquan365.com/Notice/Virus/" target="_blank">病毒/木马下载传播，可以盗取用户QQ和网络游戏的账号与密码。

三、行为分析：

1、病毒运行后释放文件：
%system32%\MsHx.dll
%system32%\mswosck.dll
%system32%\TGDOFU.exe

2、修改注册表，添加启动项，以达到随机启动的目的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " 随机 " = "C:\WINDOWS\system32\TGDOFU.exe"

3、将mswosck.dll插入到EXPLORER.EXE其它应用程序进程中,进行键盘记录,信息收集等目的

4、主动连接网络，下载相关病毒文件信息:
协议：UDP　
地址：239.255.255.250　
端口：1900　
进程：svchost.exe(mswosck.dll)

注释：
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。

四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
强行卸载mswosck.dll

(2) 强行删除病毒文件
%system32%\MsHx.dll
%system32%\mswosck.dll
%system32%\TGDOFU.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " 随机 " = "C:\WINDOWS\system32\TGDOFU.exe"

文章录入：郝丽责任编辑：郝丽

上一篇文章：木马Trojan-PSW.Win32.QQRob.dm分析报告

下一篇文章：没有了

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

木马Trojan-PSW.Win32.Q
木马Email-Worm.Win32.B
sp;者：李铁军更新时间：2007-11-9 1:38:44' target="_self">清除导致XP系统反复重启
破除隐身僵尸木马的隐身
反病毒实战四招妙除IE空
Trojan.Win32.BHO.ab分析
Trojan.Win32.BHO.h分析

站长邮箱：webmaster@anquan365.com

联系电话：86-10-67634029