正文

[病毒资料之八]NTdHcP.exe进程病毒2006-08-16 00:26:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/fengfei/17615.html

分享到:

病毒资料:W32/QQRob.BK!pws
基本信息
病毒名称: W32/QQRob.BK!pws 类型: 木马 长度: 26275 威胁级别: 2 捕获日期: 2006-02-10
其它别名: Trojan-PSW.Win32.QQRob.cb,PWS-QQRob trojan 影响系统: MS-Windows
表现特征
1. %SYSTEM% 目录下存在文件 NTdHcP.exe;
2. QQ 的帐号和密码可能被他人盗用;
3. 某些杀毒软件不能正常运行。
行为分析
1. 这是一个 PE 病毒,使用加壳工具 nSPack 加密,加密后长度为 26,275 字节,其中包含 163 字节的
   附加数据;

2. 试图隐藏自身进程;

3. 拷贝自身到 %SYSTEM%\NTdHcP.exe,添加“隐藏”,“系统”和“只读”属性并执行,再删除自身;

4. 关闭下列窗口:

       LanCardS
       還原精靈
       还原精灵
       還原精靈 DEMO
       还原精灵 DEMO
       還原精靈21st
       还原精灵21st
       還原精靈21st DEMO
       还原精灵21st DEMO
       TrojDie_Frame
       KvXP_ExpertFrame
       Jiangmin Registry Monitor Ex
       KVXP_Monitor
       Symantec AntiVirus
       RavMon.exe
       ZoneAlarm
       ...
       省去部分;

5. 窃取用户的 QQ 号码及密码并发送到病毒作者指定的邮箱如 newqqd@21cn.com,myqqf@126.com等;

6. 停止下列进程:

        FireTray.exe 
        UpdaterUI.exe 
        TBMon.exe 
        SHSTAT.EXE 
        RAV.EXE 
        RAVMON.EXE 
        RAVTIMER.EXE 
        Iparmor.exe 
        KAVPFW.EXE 
        KmailMon.EXE 
        KAVStart.exe 
        TrojanDetector.EXE
        KVFW.EXE 
        KAVPLUS.EXE 
        ...
        省去部分;

7. 在注册表项

       HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
   
   下面创建子键

       "NTdhcp" = "%SYSTEM%\NTdhcp.exe"

    使得病毒能够开机自运行并删除下列子键使得部分杀毒软件不能正常启动:

        RavMon
        KAVPersonal50
        RavTimer
        RavTask
        KvMonXP
        iDuba Personal FireWall
        KAVRun
        KpopMon
        Kulansyn
        MSKAGENTEXE
        MSKDetectorExe
        VirusScan Online
        KavStart
        ...

8. 在下列注册表项

       HKLM\SYSTEM\CurrentControlSet\Services\navapsvc 
       HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
       HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
       HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
       HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
       HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
       HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc
       HKLM\SYSTEM\CurrentControlSet\Services\
       HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
       HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
       HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
       HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
       HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
       HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
       HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
       HKLM\SYSTEM\CurrentControlSet\Services\MskService
       HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
       HKLM\SYSTEM\CurrentControlSet\Services\McShield
       HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
       HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
       ...

   下面设置子键

       "Start" = 4

   停止部分杀毒软件的服务;

9. 连接网址 http://alaqq17e.3322.org/new.jpg 下载文件存为 c:\new.exe 并执行。
清除方法
1.打开任务管理器,结束进程“NTdhcp.exe”;
2.删除隐藏文件“%SYSTEM%\NTdhcp.exe”;
3.打开注册表编辑器,删除病毒的注册表启动项;
4.重新恢复可能被破坏的的反病毒程序的启动服务。

阅读(5377) | 评论(1)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

loading...
您需要登录后才能评论,请 登录 或者 注册