一、综述:
1、病毒标签:trojanspy.win32.qqtail.f
病毒名称: 小燕病毒
病毒类型: 蠕虫
危害等级: 高
文件长度: 解压前: 14,336 字节,解压后 : 34,304 字节
感染系统: windows所有版本(win3.x除外)
编写语言: borland c++ builder 6.0
加壳类型: upx
2、说明:
该病毒是利用 ms04025漏洞的传播的邮件蠕虫,窃取用户网上银行信息。首先邮件内是一个mht文件,文件内容分为三段、一段显示内置的jpg照片,一段解码,最后一段是exe执行体,在没有打补丁的系统上运行后,会释放出来4个文件 help.htm help.js test.exe test.txt 通过,释放出来的4文件会在.exe执行后被删除。test.exe为c++语言编写, borland c++ 编译 .运行条件中需要borlndmm.dll、 cc3260mt.dll、 rtl60.dll、 stlpmt45.dll 、rtl60.bpl.等文件。但因运行库问题,这个文件在大多数系统上是无法正常运行的。即使文件齐全,它修改的clipsrv服务也无法正常启动。在一定程度上降低了病毒传播的速度。
二、 代码分析
1. 关闭 clipsrv 服务, clipsrv 是“剪贴簿查看器”储存信息并与远程计算机共享。
2. 拷贝自身到系统目录下 .
3. 替换 clipsrv 服务,设置其指向自身文件: c1ipsrv.exe, 以字母 l 和数字 1 混淆逃避检测
4: 提升自身权限
5: 采用远程线程注入方式,使查杀困难。
6: 病毒体那存在发送邮件的定义字符串,但没有相关发送邮件函数 . 另外关于网络的函数也只有接口还没有相关代码。推测,这个病毒还没有完成。
|
