计算机病毒电子3-5-3木马病毒行为分析.pptVIP

Virus 计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3-5 木马病毒防治 Trojan.PSW.QQPass.pqb病毒行为追踪 Trojan.PSW.QQPass.pqb病毒主要特点 Trojan.PSW.QQPass.pqb病毒行为分析 第三讲 木马病毒行为分析 计算机病毒与防治课程小组 Trojan.PSW.QQPass.pqb病毒清除 木马病毒行为分析 病毒名称:Trojan.PSW.QQPass.pqb 病毒 计算机病毒与防治课程小组 又名: sxs.exe 病毒,QQ尾巴病毒 危险级别：★★★★★ 病毒类型：木马病毒 Trojan.PSW.QQPass.pqb 病毒 计算机病毒与防治课程小组 Trojan.PSW.QQPass.pqb病毒特点 传播方式： 网络和可移动磁盘传播。 主要危害： 盗取QQ帐户和密码 对系统的影响：会终止大量反病毒软件的进程，降低系统的 安全等级，重装系统也没有用，此毒危害性很大。 木马病毒行为追踪 计算机病毒与防治课程小组 我们在影子环境下运行sxs.exe病毒来看看病毒行为…… 病毒样本在E盘中 计算机病毒与防治课程小组 木马病毒行为追踪 我们在E盘中运行病毒文件sxs.exs文件后，系统中的 D盘根目录下上同样感染了病毒文件！ 在生成病毒副本的同时还生成了一个自启动文件 计算机病毒与防治课程小组 木马病毒行为追踪 很多情况下用户并没有察觉到病毒文件的存在？？？ 由于病毒修改了注册表中： [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALL]下的CheckedValue“=dword值改为了CheckedValue”=dword者干脆胡乱修改。 使得即便在文件夹选项中选择了“显示所有文件和文件夹”并且确认后，再次打开文件夹选项后，发现选项仍是“不显示隐藏文件和文件夹”。通过这种方法大部分病毒达到了隐藏的目的。在将键值改正后一般就会恢复正常。如果还是不行的话，可以删除键值，再重新建一个CheckedValue的dword值。 计算机病毒与防治课程小组 木马病毒行为追踪 通过IceSword工具来检查一下系统的进程，在系统进程中并没有发现病毒进程。 计算机病毒与防治课程小组 木马病毒行为追踪 再用IceSword检查一下在system32文件中的文件，点击“创建时间”我们 很容易就发现，病毒生成的QQhx.exe和afkguw.exe两个新文件。 计算机病毒与防治课程小组 木马病毒行为追踪 接着我们查看一下注册表的启动项，我们可以发现病毒文件 akfguw.exe已经成功的创建了自己的启动项。 计算机病毒与防治课程小组 木马病毒行为追踪 同时我们使用Filemon软件，记录下病毒对整个系统中文件的操作行为。 然后以sxs.exe和afkguw.exe作为关键字对整个记录内容进行过滤。 计算机病毒与防治课程小组 木马病毒行为追踪 病毒会在创建病毒文件时“赠送”一个Autorun.inf文件， sxs病毒中INF文件所写的内容如下： [AutoRun] open=sxs.exe shellexecute=sxs.exe shell\Auto\command=sxs.exe 病毒病毒编写者往往利用autorun.inf的自动功能，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个autorun.inf文件，可以放置正常的启动程序，如我们经常使用的各种教学光盘，插入电脑光盘就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。 计算机病毒与防治课程小组 木马病毒行为归纳 1.生成文件 %system%\svohost.exe %system%\winscok.dll 2.添加启动项 hkey_local_machine\software\microsoft\windows\currentversion\run soundmam = %system%\svohost.exe 3.盗取号码 键盘记录，包括软件盘。将盗取的号码和密码通过邮件发送到指定邮箱。 计算机病毒与防治课程小组 木马病毒行为归纳 4.传播方式 检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。包括sxs.exe和autorun.inf文件。 5.autorun.inf添加下列内容，达到自运行的目的。 [autorun] open=sxs.exe shellexecute=sxs.ex 6.关闭窗口名为下列