河北理工大学毕业设计说明书 第 1 頁 共 84 页 目 录 引 言 1 第一章 计算机病毒简介 2 1.1 计算机病毒的认识 2 1.2 计算机病毒的触发机制.2 1.3 计算机病毒的起源.4 1.4 计算机病毒的结构特征.4 1.5 病毒的结构.4 1.6 病毒嘚特征.5 1.7 计算机病毒的发展历史 6 1.4 蠕虫病毒 6 1.5 计算机病毒发展趋势 .10 第二章 QQ 现在计算机病毒已经渗透信息社会的各个领域，不但给计算机系统带來了巨大的破 坏和潜在的威胁而且还对个人的网上个人信息构成了威胁为了确保信息的安全与畅通， 因此研究对算机病毒的分析与清除嘚方法是迫在眉睫的本论文从主要对 QQ 盗号木马进行 分析，首先认识一下计算机病毒以及他的触发机制概述了计算机病毒的发展历史及結构， 并针对具体的实例QQ 盗号木马病毒初步分析其有关性质和作用原理，仔细阅读它的源 程序根据病毒的发作机制，提出了它的清除方式 QQ 盗号木马主要是利用邮件来传播，当被激活时会生成几个文件，对系统进行监听 一旦有人登陆 QQ 其密码就会被窃取我主要是采用對生成的文件进行查找，因为他所生成 的文件是固定的这就很有助与杀此病毒，但其隐藏属性是查找次文件的一大难点所以， goal. 河北理笁大学毕业设计说明书 第 5 页 共 84 页 Keywords virus QQ-virus path register attribute 引 言 计算机病毒的发展历史悠久,从 80 年代中后期广泛传播开来.时至今日,据统 计世界上已存在的计算机病毒有仩万余种,并且每天以平均几十种的速度增加.计 算机病毒的发展一定程度上影响了反病毒产品的发展,原有的反病毒技术在新型 病毒面前显得陳旧而无能为力.病毒检测产品是以病毒的特征码为基础的针对具 体病毒的判断技术,因此,病毒的变种以及未知病毒给检测软件带来较大的困難. 病毒的清除是建立在病毒检测的基础上,目前病毒的清除实际上是针对已知病毒. 这种被动式的方法使反病毒技术总是落后于病毒技术,虽然這类反病毒产品对病 毒的抑制是不容忽视的,但它所暴露出来的漏洞却越来越多.新一代的开放式反病 毒技术应运而生,这种开放式反病毒技术將病毒的结构用一个统一的数据结构加 以描述用户可以根据自身对病毒进行分析,并具有更加灵活的升级优势,对于新 一代具有反跟踪,加密技术的多维变异病毒，这种方法显示出其灵活及高效的特 色,这种广谱型的查毒杀毒系统将逐渐成为反病毒产品的发展趋势. 在本次设计中峩主要是选择了 qq 盗号程序（属蠕虫类型）作为研究的课 题。通过对 qq 盗号程序的有关性质和作用原理进行系统的分析找到它的发作 机制，提出了一套事实可行的解决方案主要是采用对所有的文件进行二进制 扫描，如果发现病毒特征码就认为是病毒感染文件保留文件的路徑后，根据 路径删除感染文件同时清楚注册表中被病毒改写过的内容。 第一章 计算机病毒的简介 河北理工大学毕业设计说明书 第 6 页 共 84 页 1、1 计算机病毒的认识 （一）计算机病毒及特点 计算机病毒是将自身纳入另外的程序或文件的一段小程序广义的计算 机病毒还包括逻辑炸彈、特洛伊木马和系统陷阱入口等等。计算机病毒虽是 一个小小程序但它和普通的计算机程序不同，具有以下特点 （１） 自我复制的能力。它可以隐藏在合法程序内部随着人们的操作不断地 进行自我复制。 （２） 它具有潜在的破坏力系统被病毒感染后，病毒一般不即时发作而是 潜藏在系统中，等条件成熟后便会发作，给系统带来严重的破坏 （３） 它只能由人为编制而成。计算机病毒不可能随機自然产生也不可能由 编程失误造成。 （４） 它只能破坏系统程序不可能损坏硬件设备。 （５） 它具有可传染性并借助非法拷贝进荇这种传染。计算机病毒通常都附 着在其他程序上在病毒发作时，有一部分是自己复制自己并在一定条件下 传染给其他程序；另一部汾则是在特定条件下执行某种行为。 二计算机病毒的典型症状 计算机病毒和人体中和病毒一样它的发作也有自己的典型症状，主要有 （１） 屏幕异常滚动和行同步无关。 （２） 系统文件长度发生变化 （３） 出现异常信息、异常图形。 （４） 运行速度减慢系统引导、咑印速度变慢。 （５） 存储容量异常减少 （６） 系统不能由硬盘引导。 （７） 系统出现异常死机 河北理工大学毕业设计说明书 第 7 页 共 84 頁 （８） 数据丢失。 （９） 执行异常操作 1．1 计算机病毒的触发机制 （一）计算机病毒的触发机制 目前病毒采用的触发条件主要有以下几種 1.日期触发许多病毒采用日期做触发条件.日期触发大体包括特定日期 触发,月份触发, 前半年后半年触发 等. 2.时间触发时间触发包括特定的时间觸发,染毒后累计工作时间触发,文 件最后写入时间触发等. 3.键盘触发有些病毒监视用户的击键动作,当发现病毒预定的键人时,病 毒被激活,进行某些特定操作. 键盘 触发包括击键次数触发,组合键触发,热 启动触发等. 4.感染触发许多病毒的感染需要某些条件触发, 而且相当数量的病毒又 以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发.它 包括运行感染文件个数触发,感染序数触发,感染磁盘数触发,感染失败 触发等. 5.启動触发病毒对机器的启动次数计数,并将此值作为触发条件称为启 动触发. 6.访问磁盘次数触发病毒对磁盘 I/O 访问的次数进行计数,以预定次数 做触發条件叫访问磁盘次数触发. 7.调用中断功能触发病毒对中断调用次数计数,以预定次数做触发条件. 8.CPU 型号/主板型号触发病毒能识别运行环境的 CPU 型號/主板型号, 以预定 CPU 型号/主板型号做触发条件, 这 种病毒的触发方式奇特罕见. 病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述嘚某一 个条件,而是使用由多个条件组 合起来的触发条件. 计算机病毒的传染机制 河北理工大学毕业设计说明书 第 8 页 共 84 页 1．2 计算机病毒的起源 1949 姩，计算机的先驱者冯·诺依曼在他的一篇论文中已把病毒程序的蓝图勾勒。10 年之后在美国电话电报公司的贝尔实验室中，这些要领在┅种电游戏中形成了这种电 子游戏叫做 “磁芯大战”。磁芯大战是当时贝尔实验室中 3 个年轻程序人员在工作时间发明 出来的磁芯大战嘚玩法如下两方各写一个程序，输入同一个计算机中这两套程序在电 话系统内互相追杀，有时他们回放下一些关卡有时回停下来修理偅新写被对方修改的 几行指令;当它被

近日360CERT监测到一种可以免杀市面上幾乎所有主流杀软的QQKEY盗号木马变种并且木马作者公然在国内搭建网站对外销售此木马，360CERT在收到木马变种后第一时间对该样本进行分析

(仩图:木马作者官网图片)

根据我们捕获到的样本发现，该盗号木马相比以前发现的盗号木马功能相对要全面一些：

(上图:木马初始化阶段)

在启動程序的时候根据木马传播者的后台账号生成QQKEY收信地址并且使用taskkill命令结束360安全卫士进程。

(上图:获取当前电脑已登录的QQ)

该木马获取QQKEY的方式與此前发现的没有改变依旧还是通过QQ快速登录的逻辑漏洞获取。

临时解决办法：木马将获取QQKEY的网页端口固定在4300可以尝试多登录几个QQ，嘫后关闭第一次登陆的QQ使后续登陆的QQ快速登录服务改到端口即可。

事后我们根据该木马的C&C地址查询了一下域名WHIOS信息，得知：

联系人：劉千仪 联系邮箱： 手机号： QQ号：
 不过后续我们查询了一下域名信息修改记录得知：该域名应该是已备案域名二手过户而来姓名与备案信息可能不真实。

(上图:格子网店信息)

(上图:百度贴吧信息)

根据QQ号我们在搜索引擎搜索到该木马作者在百度贴吧、格子网店等等公布过自己的聯系方式： 手机： 百度贴吧账号：小仓鼠旋风

原来贴吧也是他推广销售木马的一种渠道。

(上图:木马官网联系信息)

我们通过官网发现了他用於销售推广木马的专用QQ小号及QQ群

我们创建了一个QQ小号加群后发现： 官方网盘：

我们发现他的网盘内包含有两个生成器：ASP版、MYSQL版，同时后媔跟着广告信誓旦旦的说能过360且网盘在线人数还不低。

(上图:360安全卫士查杀)

但是我去验证了一下所谓能过360的说法结果让我非常失望，被360咹全大脑的QVM引擎给查杀了

(上图:软件内FTP连接信息)

我们下载了他的ASP版看了一下，脱壳后发现他的字符串中竟然带有网站的FTP连接信息： FTP: User: w22888 PASS: 5Be

我们验證了该连接信息的准确性并且发现该QQKEY目录内包含有以木马生成器登陆账户名命名。

点开其中一个目录的QQKEY.TXT后发现里面包含有各种QQKEY信息

根據上面分析我们得知目前在国内滋生的盗号产业十分猖獗，并且他们的手段仅仅只是HTTP
GET而已一般情况下AV都会将这种行为给忽略，所以此类朩马做免杀非常容易建议广大用户立即下载安装能准确查杀此类盗号木马的“360安全卫士”进行安全防护，不要轻信任何软件提示所谓的關闭杀毒后在运行安全第一！

360CERT成立于2017年5月，是一个年轻且有强大安全能力的团队团队专注于互联网上游应急响应、网络攻防研究、恶意软件分析，依托360海量安全数据和团队顶尖安全专家支撑在安全漏洞事件分析和情报分析，威胁预警方面有深厚积累