前记：学习网络已经有几年的时间，虽然现在从事技术管理，但是对于技术还是有一种依恋。很高兴能发现 网络分析专家论坛 www.netexpert.cn这个网站，网络管理以前一直强调路由交换，然而它离不开网络分析，特别是现在病毒猖獗，对于包的分析是摆在我们任何一个技术人员眼前问题。在此我感谢各位版主的辛勤劳动，使得我们能有这样一片网络分析的家园。我也希望我能把我所学习到的知识，分析的一些问题发表在论坛上，希望能得到各位高手的赐教。

    2005年4月6号上午9：50分钟左右，我的QQ接到一个熟人发过来的文件，文件叫“一个对你目前工作很有帮助的好东东.exe”。我第一反应这个是不是病毒，然而我和他经常通过QQ收发文件，因此我首先收下来，然后通过趋势杀毒(我公司装的是趋势网络版)，没有发现病毒和木马，我也报着试试看，方正我有杀毒软件，而且我装了金山网镖，一点击这个文件，它就弹出一个窗口(具体内容不是很记得了)，当时我就知道中毒了。
    我的QQ总是在和别人聊天的时候，发类似文件给别人，而且是QQ聊天的窗口一闪，上面的内容都没有了，我看不到文件的发送。因此我赶快上网查相应的资料。结果发现的确是一个木马程序。木马说明如下：（附件为趋势的病毒报警日志）
Trojan.PSW.QQPass.l
破坏方法：窃取OICQ帐号密码的木马病毒
病毒采用VC编写，"PECompact"压缩。
病毒运行后有以下行为：
一、将自己复制到"%WINDIR%"目录下的"SYSTEM"(WIN2K)或"SYSTEM32"(WIN9X)目录，文件名为 "rundll32.exe"。另外，病毒还将自己复制为%SYSDIR%目录下的两个文件，文件名分别为".exe"、"notepad.exe"

二、修改注册表以下键值以达到其自启动的目的：
1.HKEY_CLASSES_ROOT\exefile\shell\open\command
(默认) ： " "%1" %*"(注：该字符串的前两个字符为空格，当运行EXE文件时将会启动%SYSDIR%目录下的".exe"文件)
2.HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) ： "NOTEPAD %1"(注：当打开TXT文件时将会启动%SYSDIR%目录下的"notepad.exe"文件)

三、下载指定的文件到本地计算机运行。

四、试图窃取OICQ登录信息，并将窃取的信息发送到指定邮箱。

五、将病毒文件发送给其他的OICQ用户，文件名有以下可能：
"好漂亮的动画哦，你打开看看吧.exe"
"一个对你目前工作很有帮助的好东东.exe"
"你一定需要的工作资料（网上找到的）.exe"
"接啊，快接啊，推荐给你看看.exe"
"QQTalk（QQ聊天秘籍，给你看看吧）.exe"
"网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe"
"啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe"
"笑死我了，你看过这个FLASH吗.exe"
"今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe"
"超级MM，超级FLASH，请你笑纳.exe"
"腾讯QQ特殊使用技巧之动画教程（对你一定很有用的）.exe"
"网上听收音机（调到第5个频道，我们边聊边听吧）.exe"
"在线收音机（我们一起听听第6个频道吧，来探讨这个话题）.exe"
"看看我的高清晰视频图像，比QQ自带的强10倍.exe"
"你先看看我用静态照片制作成的MTV吧，我马上回来.exe"
"给你推荐一个周末好去处，打开看看就知道了.exe"
"本周末有什么打算？给你推荐一个好去处！.exe"

1、因此我根据病毒的特点，首先找到rundll32.exe，.exe，notepad.exe，发现我能删除这3个文件，但是马上它们又自动产生，同时我到WINDOWS2000的安全模式也删除文件，结果还是一样。
2、我到注册表找到以上说的键值，想把键值清空，结果我清空了，等我关闭，再次打开注册表，键值又恢复了。期间也重启过机器。
3、我找到专门瑞星 “QQ病毒”专杀工具http://it.rising.com.cn/service/technology/RS_QQMsender.htm，查杀结果没有发现病毒，
我仔细回忆了整个过程我是4月6号上午9：50分钟收到带木马的文件，当时查了毒，而且当时趋势实时监控没有报有病毒，只是我在13:56:33升级病毒库后，我只要打开QQ对话窗口，趋势就不停的弹出窗口，提示我发现病毒（具体见附件）下午5点后我用趋势查杀我整个硬盘，结果还是没有发现病毒。我查了趋势中心端是2005-4-6 13:19:13 成功升级的 病毒码 : 2.542.00，因此我认为这是窃取OICQ帐号密码的木马病毒Trojan.PSW.QQPass.l的很新的变种。趋势还不能查杀他的源头。
我想用网络分析软件抓包，想把它的源头找出来。QQ的端口不固定，但是一般本机登陆一个QQ，一般用4000。8000，因此我设置了TCP，UDP 4000和8000端口抓包，抓了不少包，看不出什么名堂，而且我解码DECODE，什么都没有，请各位高手支招！！

查了很多资料，昨天下午终于把病毒杀掉了，具体如下：
1、通过任务管理器结束病毒Rundll32.exe的进程
2、下载文件关联的工具（如RegFix），把执行文件改成非EXE文件。运行修复恢复EXE和TXT文件关联。
3、再找到病毒文件删除掉：
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）
4、到QQ安装目录下，把病毒生成的TIMPlatform.exe删除，然后把TIMP1atform.exe改名为TIMPlatform.exe即可。

[ Last edited by sunman on 2005-4-8 at 17:38 ]

原创吗？

是我的原创，我希望能和大家分享我的处理过程，同时也希望得到大家的帮助，还没发完，我将随着我的分析，继续我的旅程。。。

[ Last edited by sunman on 2005-4-7 at 12:59 ]

不错，希望能够看到更多你得原创！

请各位高手支招！！看看有什么办法解决

引用:

Originally posted by sunman at 2005-4-7 05:18 PM:
请各位高手支招！！看看有什么办法解决

我觉得应该是另外它还有其他程序。。。
建议你可以看看精华区那篇哇！黑客

肯定还有其他程序，就是源头，但是怎么找？？请问DragonGo，为什么DECODE，什么都没有呀！

[ Last edited by sunman on 2005-4-7 at 17:39 ]