20CN网络安全小组论坛 - 病毒专区 - 针对Trojan.QQTail.Shejele.a(白骨精)

论坛: 病毒专区标题: 针对Trojan.QQTail.Shejele.a(白骨精)

作者: zch001 [zch001]

论坛用户

病毒分类 WINDOWS下的PE病毒病毒名称 Trojan.QQTail.Shejele.a 　
别名　病毒长度
依赖系统传播途径　
行为类型 WINDOWS下的木马程序感染　
病毒发作瑞星版本号
　 17.19.10

采用VC编写，PECompact加壳，通过QQ,MSN等IM工具传播。

运行后将自己复制到系统windows目录下的system子目录，文件名为rundll32.exe。

并在注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
下添加自己的启动项。

病毒还会修改exe文件和txt文件的文件关联方式。这样，每当用户运行exe文件或打开txt文件时，病毒就自动运行。

病毒从网上下载文件到本地并执行。
VC写的发送QQ尾巴和盗取信息的木马病毒
一旦感染，病毒将执行下列操作:
复制到系统目录：
"%SYSDIR%\��.exe" ->该文件的文件名为一个空格
"%SYSDIR%\notepad��.exe ->该文件同样带有空格
"%SYSDIR%rundll32.exe

显示一个消息框，标题：“提示”，内容：
“安装时检测到系统中某程序与本软件发生冲突，请先纠正该冲突，或选择另一台电
脑上安装！”

病毒盗取QQ用户名、密码
病毒发送QQ信息给在线好友。内容一般为：

好漂亮的动画哦，可以打开看看吧.exe
一个对你目前工作很有帮助的好东东.exe
你一定需要的工作资料（网上找到的）.exe
接啊，快接啊，推荐给你看看.exe
QQTalk（QQ聊天秘籍，给你看看吧）.exe
网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe
啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe
笑死我了，你看过这个FLASH吗.exe
今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe
超级MM，超级FLASH，请你笑纳.exe
腾讯QQ特殊使用技巧之动画教程（对你一定很有用的）.exe
网上听收音机（调到第5个频道，我们边聊边听吧）.exe
在线收音机（我们一起听听第6个频道吧，来探讨这个话题）.exe
看看我的高清晰视频图像，比QQ自带的强10倍.exe
你先看看我用静态照片制作成的MTV吧，我马上回来.exe

病毒运行后首先查找注册表中有无HKLM\Software\Classes\MSipv\MainVer值，如果有则不进行对系统的感染，如果没有该值，则建立HKLM\Software\Classes\MSipv项，然后尝试从以下注册表启动项位置：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
删除一些木马程序的启动项：
iexplore
IEXPLORE
mssysint
mspsint
mspbint
iexplore.exe
IEXPLORE .EXE
mssysint.exe
mspsint.exe
mspbint.exe
internat.exe
internat
同时尝试删除对应的木马程序文件。

病毒创建自身副本到系统目录下：
%System%\��.exe
%System%\notepad��.exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）

并修改EXE和TXT的文件关联：
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“�� %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad�� %1”

注：其中“��”不是单纯的一个空格，而是一个字符。病毒感染系统后也会显示如图（附件）对话框。
再注：病毒文件大小不固定，从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外，病毒还会检查被感染系统是否安装QQ，如果安装有QQ，病毒则通过注册表找到QQ.EXE所在路径，把正常的TIMPlatform.exe改名为TIMP1atform.exe，将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记：
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同，但不固定。

病毒的清除
由于病毒关联了EXE文件，我们建议这样处理：
首先打开注册表编辑器或用来恢复文件关联的工具（如RegFix），先不要关闭，然后通过任务管理器或ProceXP等进程管理工具结束病毒Rundll32.exe的进程，接下来恢复EXE和TXT文件关联，最后再找到病毒文件删除掉：
%System%\��.exe
%System%\notepad��.exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）
还有一步，到QQ安装目录下，把病毒生成的TIMPlatform.exe删除，然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注：推荐使用工具来恢复TXT文件关联。

地主发表时间: 05-09-12 15:47

论坛: 病毒专区