1、Virus教学单元3-5 木马病毒防治 Trojan.PSW.QQPass.pqb病毒行为追踪 Trojan.PSW.QQPass.pqb病毒主要特点 Trojan.PSW.QQPass.pqb病毒行为分析第三讲第三讲 木马病毒行为分析木马病毒行为分析计算机病毒与防治课程小组Trojan.PSW.QQPass.pqb病毒清除木马病毒行为分析病毒名称:Trojan.PSW.QQPass.pqb 病毒 计算机病毒与防治课程小组又名:sxs.exe 病毒,QQ尾巴病毒 危险级别:病毒类型:木马病毒Trojan.PSW.QQPass.pqb 病毒计算机病毒与防治课程小组Trojan.PSW.QQPas
2、s.pqb病毒特点传播方式:网络和可移动磁盘传播。主要危害:盗取QQ帐户和密码 对系统的影响:会终止大量反病毒软件的进程,降低系统的 安全等级,重装系统也没有用,此毒危害性很大。木马病毒行为追踪计算机病毒与防治课程小组我们在影子环境下运行sxs.exe病毒来看看病毒行为病毒样本在E盘中计算机病毒与防治课程小组木马病毒行为追踪我们在E盘中运行病毒文件sxs.exs文件后,系统中的D盘根目录下上同样感染了病毒文件!在生成病毒副本的同时还生成了一个自启动文件计算机病毒与防治课程小组木马病毒行为追踪很多情况下用户并没有察觉到病毒文件的存在?由于病毒修改了注册表中:HKEY_LOCAL_MACHINES
3、OFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALL下的CheckedValue“=dword:00000001键值改为了CheckedValue”=dword:00000000或者干脆胡乱修改。使得即便在文件夹选项中选择了“显示所有文件和文件夹”并且确认后,再次打开文件夹选项后,发现选项仍是“不显示隐藏文件和文件夹”。通过这种方法大部分病毒达到了隐藏的目的。在将键值改正后一般就会恢复正常。如果还是不行的话,可以删除键值,再重新建一个CheckedValue的dword值。计算机病毒与防治课程小组木马
4、病毒行为追踪通过IceSword工具来检查一下系统的进程,在系统进程中并没有发现病毒进程。计算机病毒与防治课程小组木马病毒行为追踪再用IceSword检查一下在system32文件中的文件,点击“创建时间”我们很容易就发现,病毒生成的QQhx.exe和afkguw.exe两个新文件。计算机病毒与防治课程小组木马病毒行为追踪接着我们查看一下注册表的启动项,我们可以发现病毒文件akfguw.exe已经成功的创建了自己的启动项。计算机病毒与防治课程小组木马病毒行为追踪同时我们使用Filemon软件,记录下病毒对整个系统中文件的操作行为。然后以sxs.exe和afkguw.exe作为关键字对整个记录内
5、容进行过滤。计算机病毒与防治课程小组木马病毒行为追踪 病毒会在创建病毒文件时“赠送”一个Autorun.inf文件,sxs病毒中INF文件所写的内容如下:AutoRunopen=sxs.exeshellexecute=sxs.exeshellAutocommand=sxs.exe病毒病毒编写者往往利用autorun.inf的自动功能,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各种教学光盘,插入电脑光盘就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。计算机病毒与防治课
6、程小组木马病毒行为归纳1.生成文件%system%svohost.exe%system%winscok.dll2.添加启动项hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun soundmam=%system%svohost.exe3.盗取号码键盘记录,包括软件盘。将盗取的号码和密码通过邮件发送到指定邮箱。计算机病毒与防治课程小组木马病毒行为归纳4.传播方式检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。包括sxs.exe和autorun.inf文件。5.autorun.inf添加下列内容,达到自运行的目的。auto
7、runopen=sxs.exeshellexecute=sxs.ex 6.关闭窗口名为下列的应用程序qqkav、雅虎助手、防火墙、网镖、杀毒程序等。计算机病毒与防治课程小组木马病毒行为归纳7.结束下列进程sc.exe、net.exe、sc1.exe、net1.exe、pfw.exe、kav.exe、kvol.exe、kvfw.exe、tbmon.exe、kav32.exe、kvwsc.exe、ccapp.exe、eghost.exe、kregex.exe、kavsvc.exe、vptray.exe、ravmon.exe、kavpfw.exe、shstat.exe、ravtask.exe、tro
8、jdie.kxp、iparmor.exe、mailmon.exe、mcagent.exe、kavplus.exe、ravmond.exe、rtvscan.exe、nvsvc32.exe、kvmonxp.exe 等。8.删启动项HKLMSoftwareMicrosoftWindowsCurrentversionRun Ravtask、kvmonxp、ylive.exe、yassistse、kavpersonal50、ntdhcp、winhoxt计算机病毒与防治课程小组木马病毒手动清除在以下整个过程中不得双击分区盘,需要打开时用鼠标右键打开。1 关闭病毒进程Ctrl+Alt+Del 任务管理器,在
9、进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉。2 显示出被隐藏的系统文件运行regeditHKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1。在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示。计算机病毒与防治课程小组木马病毒手动清除在以下整个过程中不得双击分区盘,需要打开时用鼠标右键打开。3 删除病毒在分区盘上单击鼠标右键打开,看到每个盘跟目录下有 autorun.in
10、f 和 sxs.exe 两个文件,将其删除。4 删除病毒的自动运行项 打开注册表 运行regeditHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 下找到 SoundMam 键值,可能有两个,删除其中的键值C:WINDOWSsystem32SVOHOST.exe。最后到 C:WINDOWSsystem32 目录下删除 SVOHOST.exe 或 sxs.exe。重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。5 如果杀毒软件实时监控可以打开,但开机无法自动运行,最简单的办法,执行杀毒软的添加删除组件,修复即可。本讲小结 Trojan.PSW.QQPass.pqbTrojan.PSW.QQPass.pqb病毒主要特点病毒主要特点 Trojan.PSW.QQPass.pqbTrojan.PSW.QQPass.pqb病毒行为追踪病毒行为追踪Trojan.PSW.QQPass.pqbTrojan.PSW.QQPass.pqb病毒行为分析病毒行为分析Trojan.PSW.QQPass.pqbTrojan.PSW.QQPass.pqb病毒清除病毒清除 具有木马病毒 反病毒能力计算机病毒与防治课程小组Virus
