2011-09-06来源:金山安全中心
摘要:QQ群蠕虫病毒伪装成电视棒破解程序欺骗网民下载,盗取魔兽、邮箱及社交网络账号,中毒后病毒会自动访问QQ群共享空间进行传播。目前该病毒感染量每天约2万个,一周来累计感染量突破12万。
关键词:QQ群蠕虫病,盗号,金山毒霸
病毒名:
QQ群蠕虫病毒(Win32.Troj.Pincav)
病毒简介:
该病毒伪装成电视棒破解程序欺骗网民下载,盗取魔兽、邮箱及社交网络账号,中毒后病毒会自动访问QQ群共享空间进行传播。目前该病毒感染量每天约2万个,一周来累计感染量突破12万。
该病毒的技术手法,可能给QQ安全带来空前压力,也极可能被其他病毒作者效仿。
图1 国内首个QQ蠕虫传播效果图
QQ群蠕虫 (Win32.Troj.Pincav)的传播手法
病毒首先通过小网站(伪装成色情播放器和游戏外挂)被部分网民下载后运行,据金山云安全中心统计,经常下载这类程序的网民中有20%会关闭杀毒软件,主动运行病毒。
中毒后病毒会将复制自身,主动上传到当前QQ用户的所有QQ群中,QQ群会收到共享文件的通知,在线成员可能下载该程序。从而,使越来越多的QQ用户中毒,就如原子弹爆炸般的链式反应。短时间内造成大量用户QQ帐号、邮箱帐号、网游帐号等重要信息被盗。
图2 国内首个QQ蠕虫传播流程
病毒分析:
1.行为分析:
在C盘Program Files文件夹或各磁盘根目录生成文件:
C:\Program Files\NVIDIA Corporation\PhysX\Common\nwizs.exe(伪装成英伟达显卡驱动程序相关文件)
C:\Program Files\NVIDIA Corporation\PhysX\Common\nvwdmcpl.dll (伪装成英伟达显卡驱动程序相关文件)
x:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\recycle.exe(伪装成回收站图标)
图3 病毒伪装成回收站图标并隐藏
x:\autorun.inf(以实现双击磁盘图标时病毒被执行)
图4 病毒修改双击磁盘自动打开配置文件autorun.inf
写入启动项:
修改HKEL_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的nwizs值
修改HKEL_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下的nwizs值
2.传播技术点:
若QQ.exe正在运行,病毒dll会注入QQ.exe,使用特殊技术手段得到QQ号和QQ号码的ClientKey(ClientKey是在QQ登陆后动态生成的,在我们打开自己的QQ邮箱、QQ空间或者QQ群共享时,ClientKey充当了QQ密码的角色),利用这些信息访问QQ群,得到该QQ号的QQ群列表。然后,病毒向所有QQ群上传自身。
效果如下:
图5 病毒自身副本被上传到QQ群共享空间
3.病毒自升级:
病毒作者使用了一个百度空间来存放两个加密后的URL,通过解密出来的URL下载病毒压缩包。百度空间地址http://hi.baidu.com/px44554344/home
图6 病毒作者利用百度空间来取得加密字串,以更新病毒
这两个博客文本解密之后为的字串(因涉及病毒传播,金山毒霸工程师在本报告中隐藏了完整路径)
http://******/6/1315115820x-954498972.gif
(gif图片,据推测是病毒作者用来测试网络状态)
http://******/6/1315116601x-1376440220.zip
(zip包是病毒用来上传到QQ群共享的压缩包,病毒作者通过更新百度空间中的字符串来更新病毒包下载地址。)
4.病毒传播触发条件:
病毒作者编写程序中的一个BUG导致中毒电脑的QQ号若大于2147483648时,将不能触发病毒自动上传到QQ群共享空间。
5.中毒现象
1)Windows资源管理器会无缘故重启一次(就是Windows桌面重新刷新一次)
2)中毒后可在群共享中发现有登录者qq群共享文件,文件名可能为:"成人电视棒破解版V2.zip"或者"成人电视棒升级破解版.zip"。
目前,金山毒霸已经和腾讯安全中心针对此病毒紧急磋商,以阻止类似病毒通过QQ群共享空间爆发式传播,金山毒霸猎豹+QQ电脑管家极速安全套装已经可以完美拦截。
热点新闻: