Windows安全防护-深入剖析QQ巨盗病毒行为与查杀策略

1. QQ巨盗病毒的前世今生第一次遇到QQ巨盗病毒是在2010年帮同学修电脑的时候。当时他的QQ突然自动给所有好友发送垃圾信息重装系统后问题依旧存在。后来才发现是中了这个名为Win32.PSWTroj.QQPass的木马它就像个顽固的寄生虫会在系统里不断复制自己。这个病毒最狡猾的地方在于它会伪装成系统文件。我清楚地记得在system32目录下发现过一个叫conime.exe的文件乍看像是输入法相关程序实际却是病毒本体。病毒作者故意用了这种鱼目混珠的命名方式普通用户根本分辨不出来。病毒主要通过三种方式传播伪装成游戏外挂或破解软件利用U盘自动播放功能通过QQ文件传输发送伪装成图片的exe文件2. 病毒行为全解析2.1 文件系统里的地道战用D盾监控工具观察时发现病毒会在多个位置埋下地雷。最典型的是在C盘创建以下文件c:\windows\system32\qvkwjh.exe主病毒程序c:\windows\system32\drivers\jwbnlb.exe映像劫持执行器c:\windows\system32\qvkwjh.dll功能模块更隐蔽的是它会修改hosts文件把360、金山等安全软件的更新服务器都指向127.0.0.1。这就好比把报警电话全部转接到空号让杀毒软件变成瞎子。2.2 进程注入的隐身术病毒会注入到explorer.exe等系统进程中运行。用PChunter查看时能看到这些进程加载了异常的dll模块。我遇到过最夸张的情况是一个explorer.exe进程里同时注入了5个病毒模块就像在正规酒店里开了多个暗门。2.3 注册表的连环套病毒在注册表里主要做三件事添加启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run设置映像劫持HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options禁用安全工具修改注册表权限阻止杀软运行映像劫持这个设计特别阴险。它会劫持regedit.exe当你尝试打开注册表编辑器时实际运行的是病毒程序。这就好比你想拿钥匙开门结果钥匙自己变成了小偷。3. 手把手查杀指南3.1 准备作战工具包工欲善其事必先利其器我常年备着这些工具PChunter进程/注册表/文件全能分析D盾实时监控文件变化Process Explorer微软官方进程工具Autoruns启动项管理神器建议把这些工具放在U盘里因为中毒后可能无法联网下载。我就吃过这个亏最后只能用手机下载再传到电脑。3.2 步步为营的清除流程断网拔掉网线防止病毒外传数据杀进程taskkill /f /im qvkwjh.exe taskkill /f /im jwbnlb.exe删文件用PChunter强制删除system32下的病毒文件特别注意检查drivers目录清注册表删除所有Image File Execution Options下的劫持项清理Run键值中的可疑启动项修复hostsattrib -r -h c:\windows\system32\drivers\etc\hosts echo 127.0.0.1 localhost c:\windows\system32\drivers\etc\hosts3.3 那些年踩过的坑第一次处理时没注意到U盘里的autorun.inf结果刚清完病毒一插U盘又中招了。后来学乖了现在都习惯用右键菜单的打开来操作磁盘。还有个隐蔽的坑是病毒会修改系统时间。有次清除后所有https网站都打不开排查半天发现是系统时间被改成2004年导致证书失效。4. 防患于未然的建议4.1 日常防护四件套UAC开到最高虽然烦人但真能防住大部分木马显示文件扩展名避免把qq.jpg.exe当成图片定期备份hosts我每个月都会备份一次禁用自动播放[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoDriveTypeAutoRundword:000000ff4.2 值得推荐的监控策略在服务器上我通常会配置这些监控项监控system32目录的文件变化记录所有新增启动项监控关键注册表键值修改定期对比hosts文件MD5值可以用简单的批处理实现自动化监控echo off fc c:\windows\system32\drivers\etc\hosts d:\backup\hosts.bak || echo Hosts文件被修改 d:\log\security.log5. 病毒背后的技术原理5.1 盗号机制解析病毒会挂钩以下API函数QQ的密码输入框消息处理函数键盘钩子WH_KEYBOARD_LL内存读写相关API当检测到QQ窗口时就记录键盘输入和窗口内容。我逆向分析过一个样本发现它每隔5分钟就会把窃取的数据打包发送到指定邮箱。5.2 自我保护手段病毒采用多种反检测技术进程注入把代码藏到正常进程里文件隐藏设置系统和隐藏属性注册表监控检测注册表工具运行杀软对抗专门针对360和金山做绕过最绝的是某个变种会检测虚拟机环境在沙箱里表现得很老实一到真实环境就原形毕露。6. 应急响应实战记录去年帮一家小公司处理过大规模感染他们的共享服务器成了重灾区。处理过程整整花了8个小时主要因为病毒在局域网内通过共享文件夹传播有些电脑的杀软反而被病毒禁用了员工习惯双击打开U盘最后我们采取的措施是断网后逐台查杀重建所有主机的hosts文件统一部署组策略禁用自动播放开展全员安全意识培训这次经历让我深刻体会到技术措施人员管理才是完整的防护方案。现在他们公司每季度都会做一次安全演练再没出现过大规模感染。