qq盗号木马变种Trojan-PSW.Win32.QQPass.kht

　　该木马是使用Delphi编写的盗号程序，由微点主动防御软件自动捕获，采用FSG加壳方式试图躲避特征码扫描,加壳后长度为33,982字节，图标为，病毒扩展名为exe，主要通过网页木马、文件捆绑的方式传播，病毒主要盗取QQ帐号和密码。

　　病毒分析

　　该木马程序被执行后，拷贝自身到%SystemRoot%system32目录下，分别重命名为“WNILOGON.exe”、“tmhk.dll”；修改注册表自启动项以随系统一起启动；使用API函数WinExec运行“WNILOGON.exe”；以批处理的方式将病毒原文件删除；

　Quote:项：HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
健值：SonudMan
指向数据：%SystemRoot%system32WNILOGON.exe

　　

　　“WNILOGON.exe”运行后，遍历进程查找“QQ.EXE”、“NTdhcp.exe”、“SVCHOXT.EXE”将其关闭；删除如下安全软件“NTdhcp”、“Winhoxt”、“KAVPersonal50”、“KvMonXP”、“YLive.exe”、“yassistse”的自启动项，使其不能随系统一起启动；枚举窗口查找窗口名或类名为“QQKav”、“QQAV”、“TKillqqvir”、“TKillqqvir”、“TApplication”的窗口，通过发送“wm_quit”消息将其关闭；开启一线程访问恶意网站“http://www.xxx.com/xxx.exe”下载其他病毒程序到本地并运行；在%SystemRoot%system32目录下释放动态库“winsook.dll”；使用API函数LoadLibraryA加载动态库“winsook.dll”；

　　“winsook.dll”运行后，通过全局钩子试图将动态库“winsook.dll”注入到所有进程中；枚举窗口查找QQ登录窗口，通过监视键盘和鼠标消息获取帐号和密码，以邮件的形式发送给木马种植者。

　　安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-PSW.Win32.QQPass.kht ”，请直接选择删除。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。

　　3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　4、开启windows自动更新，及时打好漏洞补丁。