Virus计算机病毒与防治计算机病毒与防治教学单元3-5木马病毒防治Trojan.PSW.QQPass.pqb病毒行为追踪Trojan.PSW.QQPass.pqb病毒主要特点Trojan.PSW.QQPass.pqb病毒行为分析第三讲木马病毒行为分析计算机病毒与防治课程小组Trojan.PSW.QQPass.pqb病毒清除木马病毒行为分析病毒名称:Trojan.PSW.QQPass.pqb病毒计算机病毒与防治课程小组又名:sxs.exe病毒,QQ尾巴病毒危险级别:★★★★★病毒类型:木马病毒Trojan.PSW.QQPass.pqb病毒计算机病毒与防治课程小组Trojan.PSW.QQPass.pqb病毒特点传播方式:网络和可移动磁盘传播。主要危害:盗取QQ帐户和密码对系统的影响:会终止大量反病毒软件的进程,降低系统的安全等级,重装系统也没有用,此毒危害性很大。木马病毒行为追踪计算机病毒与防治课程小组我们在影子环境下运行sxs.exe病毒来看看病毒行为……病毒样本在E盘中计算机病毒与防治课程小组木马病毒行为追踪我们在E盘中运行病毒文件sxs.exs文件后,系统中的D盘根目录下上同样感染了病毒文件!在生成病毒副本的同时还生成了一个自启动文件计算机病毒与防治课程小组木马病毒行为追踪很多情况下用户并没有察觉到病毒文件的存在???由于病毒修改了注册表中:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]下的CheckedValue“=dword:00000001键值改为了CheckedValue”=dword:00000000或者干脆胡乱修改。使得即便在文件夹选项中选择了“显示所有文件和文件夹”并且确认后,再次打开文件夹选项后,发现选项仍是“不显示隐藏文件和文件夹”。通过这种方法大部分病毒达到了隐藏的目的。在将键值改正后一般就会恢复正常。如果还是不行的话,可以删除键值,再重新建一个CheckedValue的dword值。计算机病毒与防治课程小组木马病毒行为追踪通过IceSword工具来检查一下系统的进程,在系统进程中并没有发现病毒进程。计算机病毒与防治课程小组木马病毒行为追踪再用IceSword检查一下在system32文件中的文件,点击“创建时间”我们很容易就发现,病毒生成的QQhx.exe和afkguw.exe两个新文件。计算机病毒与防治课程小组木马病毒行为追踪接着我们查看一下注册表的启动项,我们可以发现病毒文件akfguw.exe已经成功的创建了自己的启动项。计算机病毒与防治课程小组木马病毒行为追踪同时我们使用Filemon软件,记录下病毒对整个系统中文件的操作行为。然后以sxs.exe和afkguw.exe作为关键字对整个记录内容进行过滤。计算机病毒与防治课程小组木马病毒行为追踪病毒会在创建病毒文件时“赠送”一个Autorun.inf文件,sxs病毒中INF文件所写的内容如下:[AutoRun]open=sxs.exeshellexecute=sxs.exeshell\Auto\command=sxs.exe病毒病毒编写者往往利用autorun.inf的自动功能,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各种教学光盘,插入电脑光盘就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。计算机病毒与防治课程小组木马病毒行为归纳1.生成文件%system%\svohost.exe%system%\winscok.dll2.添加启动项hkey_local_machine\software\microsoft\windows\currentversion\run"soundmam"="%system%\svohost.exe"3.盗取号码键盘记录,包括软件盘。将盗取的号码和密码通过邮件发送到指定邮箱。计算机病毒与防治课程小组木马病毒行为归纳4.传播方式检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。包括sxs.exe和autorun.inf文件。5.autorun.inf添加下列内容,达到自运行的目的。[autorun]open=sxs.exeshellexecute=sxs.ex6.关闭窗口名为下列的应用程序qqkav、雅虎助手、防火墙、网镖、杀毒程序等。计算机病毒与防治课程小组木马病毒行为归纳7.结束下列进程sc.exe、net.exe、sc1.exe、net1.exe、pfw.exe、kav.exe、kvol.exe、kvfw.exe、tbmon.exe、kav32.exe、kvwsc.exe、ccapp.exe、eghost.exe、kregex.exe、kavsvc.exe、vptray.exe、ravmon.exe、kavpfw.exe、shstat.exe、ravtask.exe、trojdie.kxp、iparmor.exe、mailmo...
VIP
