1. 運行"一生有你.exe"之後出現的圖片
·基於JSF開發實戰經驗·平民的三維 矢量的三維--Cool 3D 3.5實·Atlas快速入門之實戰Atlas·無間地獄-實戰技巧 Infernal·VirtualDJ: 虛擬DJ 實戰精彩·風雨雷電→自然現象動畫實戰技術·PS & CD商業實戰:易拉罐設計·X3D實戰基礎講座之一·UniX技術 AIX實戰經驗·實戰:6GB內存運行Windows Vista!
看得出來,這個就是利用了大家喜歡看網友照片或者某些圖片的好奇心,把木馬文件和圖片捆綁起來運行的。
2. 運行"qq信使功能客戶端生成器"出現的界面;
這個很顯然是讓用戶刻意運行的--難道還有人會傻到自己運行木馬麼?沒錯,在網吧等公共環境中,存在這這樣一類人,故意在所用的機器上啟用qq密碼盜取木馬,然後立即下機,後來的上網者就都成了該木馬的受害者--這樣獲取它人的qq以便謀利。我還是生成並運行了它。
3.Trojan.PSW.QQpass.ak.a.exe 、Trojan.PSW.QQPass.ar.exe 以及另外3個病毒程序,我之後沒有出現任何界面; 這個大概是配合其他感染方式使用的吧,例如配合惡意web頁面使用,利用ie漏洞自動下載並執行;
4.運行Trojan.PSW.QQPass之後的無任何界面 我想是同上類型的,值得一提的是該病毒是一個典型的delphi程序的圖標,而且運行方式有點特別,後面我詳細說說;
5.運行qqinfo.exe 之後無任何界面; 但查看了一下它文件夾中的選項,有供替換用的internat.exe文件,不知為何在我機器上它替換失敗,哈哈。看了一下那個internat.exe文件的屬性,其版本號是5.0,猜測是對應win2k和winxp的,我這裡是win98,所以無法替換吧??
ok,該運行的病毒我全都運行起來了,現在看看到底這些病毒在我們系統中做了哪些手腳吧??
一般來說,qq病毒都是獨立的程序,通過啟動的時候自動加載,檢查qq的登陸窗口句柄,通過控件id獲得用戶的id號和密碼值。也就是說,木馬的成功分為2個部分:1.硬盤上存在盜取密碼的程序;2.該程序被成功執行。明白了這點後,我們就可以分2步來分析這些盜取號碼的軟件: 首先我們來看看這些病毒在硬盤上的位置,根據天緣的經驗,木馬程序最喜歡在系統盤的根目錄下,在windows的目錄下(包括system和system32目錄)和qq所在的盤/目錄裡最有可能隱藏病毒文件,讓我們去以上各個目錄看看。
首先,進入c盤的根目錄,使用資源浏覽器將文件按修改時間排序,發現無故多了張名字為dream.jpg,大小為48k的圖片,打開一開,正是名為"一生有你.exe"這個病毒執行後出現的那張圖片,看來該qq病毒應該是利用了捆綁工具,將jpg文件和病毒文件捆綁到了一起,這類病毒專門針對喜歡看網友照片的朋友而設計的,哈哈。除了這文件外,沒發現其他文件被改變。 ok,接下來到c:\windows 目錄下來看看(天緣裝的操作系統是win98,如果在2k中就該是winnt目錄哦),同樣將文件按照時間排序看看。 發現增加了一個名為qqinfo.exe文件, 增加了一個名為intren0t.exe的程序, 增加了一個名為intrenat.exe的程序
同時user.dat和system.dat的最後訪問時間也被修改了,熟悉注冊表的朋友都知道,這2個文件正是注冊表的真實文件,這就從側面提示了提示我們,我運行的qq病毒軟件修改了注冊表。
接下來到system目錄下去看看: 發現該目錄下增加了一個名為explorer.exe的程序(這個程序跟資源管理器同名,不少的病毒/木馬都喜歡取一些跟系統本身固有程序類似的名字來混轄視聽,從下圖可以看出,圖標也是完全不同的); 增加了一個名為:winms.exe的程序 增加了一個uhqq.dll的程序
系統盤就找到這麼多,接著到其他盤去看看
來到d盤根目錄,發現增加了一個autorun.inf文件。
是個文本文件,打開一看,原來是指向D:\Program Files\FNYP.EXE。autorun.inf本來的作用是訪問該分區的時候自動執行某些任務,自學教程,例如光驅自動讀盤就是用它實現的,但現在很多病毒也喜歡玩這個。Ok,不用說了,這個也是病毒干的,至於是哪個病毒呢?我猜測是Trojan.PSW.QQPass這個,因為圖標同樣是delphi的程序圖標。
圖文詳解 QQ病毒查殺實戰
在這主鍵下面不遠的runservices 鍵值中,也發現幾個不對勁的地方
好了,之後就沒有再查找到可疑程序,到這裡就查找完整了。。。接下來,就是先記錄下來這些可疑文件的文件名字(有位置的順便把文件位置也記錄下來),然後將上面說的可疑鍵值全部刪除掉。其中有一個比較特別的是rundll32.exe文件,這個本是windows的自帶文件,但是病毒文件將其替換掉了,恢復方法見後。
Ok,關閉regedit,等待個幾分鐘,然後再打開regedit看看,重復一下上面的操作,看看剛才在注冊表裡的鍵值是否真的刪除掉了。因為利用改寫系統system i/o操作,可以作到令刪除指定文件/注冊表項目的操作無效--該技術目前只看到3721用到過。我查了一下,的確都刪除了,看來這些木馬技術含量還真不是一般的低,真好殺。
現在讓我們運行一下scanregw,重新備份注冊表
為什麼這裡要重新備份一次呢??因為windows有個習慣,就是如果是非法關機,那麼此次的注冊表操作都不保存--我曾經遇到過不少病毒利用這點來刻意令windows無法正常關機,達到用戶即使清理了注冊表也無效的效果。因此為了預防這點,我們重新備份一次注冊表--這時候的注冊表中已經是沒有木馬選項的了。
好了,重新啟動計算機,開機按f8,進入到安全模式中。這時候因為不運行注冊表裡的啟動程序,所以所有的木馬都成了一匹死馬--除了d盤下的利用autorun.inf的那個。等下特別關照它。
按照剛才記錄下來的程序位置,依次進入到該目錄中將該病毒文件刪除;上面提到過,除了一個特殊的木馬外,其他的都在c盤,所以直接進到相應目錄裡,刪除文件即可。
接下來,在"我點電腦中",在d盤上點右鍵,選擇"打開"方式打開d盤(如下圖),注意,這一步不可以直接雙擊d盤圖標打開,那樣會導致d盤根目錄下的autorun.inf自動執行,別忘記了d盤的木馬還沒刪除掉呢。
ok,然後進到d盤的program file目錄,將那個木馬刪除;用同樣的方式進入e盤,將根目錄下的autorun.inf文件刪除掉;到現在為止,所有的木馬都被我們刪除掉了。 對於上面提到過的c:\windows 系統下被替換掉了的rundll32.exe怎麼辦?雖然我們已經將該木馬刪除了,5自學網,但是該文件是被系統所需要的,所以還需要恢復一個干淨的rundll32。對於win98來說,可以使用系統自帶的系統文件檢查器,對於win2k/xp來說,可以直接從別人機器上copy一個就行了,文件不大,即使網絡傳輸也很快。下面來看看win98下如何使用系統文件檢查器。
在 開始--運行 中輸入"sfc",打開系統文件檢查器 然後選擇"從安裝軟盤提取一個文件",在下面的輸入欄中輸入rundll32.exe 接著點"開始",彈出如下界面
將"還原自"那裡輸入你的windows安裝盤位置,然後點"確定"就行了。到這裡為止--運行的所有qq密碼盜竊病毒都被我們刪除干淨了。
接下來,再重新啟動一次計算機,您就可以放心上網聊qq去了。其實qq軟件木馬的功能相當單一,殺除也相當容易,但是大多數用戶是在發現被盜後才察覺到,屬於亡羊補牢。最好的辦法就是預防中毒,盡量不要接受陌生人的文件,在網吧上網的時候在下機前修改qq密碼,另外最為重要的就是認真填寫密碼保護資料--如果qq被盜,而密碼保護資料是亂填的,或者太簡單或者根本就沒密碼保護,那麼qq號大概是很難尋回了。