文学论坛挂的马 Worm.Win32.QQPass.a 的简单分析

文学论坛挂的马 Worm.Win32.QQPass.a 的简单分析

endurer 原创
2007-09-02 第1版

这回挂的跟 上回那个 Worm.Win32.Agent.imh (见:文学论坛挂的马 Worm.Win32.Agent.imh 的简单分析)很相似。

0.exe 采用UPX1加壳

脱壳前：
文件说明符 : d:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:3:13
修改时间 : 2007-8-31 19:3:22
访问时间 : 2007-8-31 0:0:0
大小 : 16944 字节 16.560 KB
MD5 : ceb6f4d04c9f5ff2f6636dd7233460d9
HSA1: 9F48898ECA47463712D65752C4AF0C072F200C8F

脱壳后：
文件说明符 : d:/test/0_org.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:21:18
修改时间 : 2007-8-31 19:21:14
访问时间 : 2007-8-31 0:0:0
大小 : 22064 字节 21.560 KB
MD5 : 4797f454f6b22a7f14b4d90c18c9a5ce
HSA1: 0EE42A949864724B6F04EB2D14D025FE286C792E

Kaspersky 报为 Worm.Win32.QQPass.a，瑞星 报为 Trojan.PSW.Win32.Agent.vcd

把自己复制到 /Program Files/Internet Explorer/PLUGINS/，文件名为NewTemp.bkk、NewTemp.dll

并修改注册表，注册到ShellExecuteHooks下，CLSID 为 {0EA66AD2-CF26-2E23-532B-B292E22F3266}。