Windows安全防护-深入剖析QQ巨盗病毒行为与查杀策略

1. QQ巨盗病毒的前世今生

第一次遇到QQ巨盗病毒是在2010年帮同学修电脑的时候。当时他的QQ突然自动给所有好友发送垃圾信息，重装系统后问题依旧存在。后来才发现是中了这个名为Win32.PSWTroj.QQPass的木马，它就像个顽固的寄生虫，会在系统里不断复制自己。

这个病毒最狡猾的地方在于它会伪装成系统文件。我清楚地记得在system32目录下发现过一个叫conime.exe的文件，乍看像是输入法相关程序，实际却是病毒本体。病毒作者故意用了这种鱼目混珠的命名方式，普通用户根本分辨不出来。

病毒主要通过三种方式传播：

• 伪装成游戏外挂或破解软件
• 利用U盘自动播放功能
• 通过QQ文件传输发送伪装成图片的exe文件

2. 病毒行为全解析

2.1 文件系统里的"地道战"

用D盾监控工具观察时，发现病毒会在多个位置埋下"地雷"。最典型的是在C盘创建以下文件：

• c:\windows\system32\qvkwjh.exe（主病毒程序）
• c:\windows\system32\drivers\jwbnlb.exe（映像劫持执行器）
• c:\windows\system32\qvkwjh.dll（功能模块）

更隐蔽的是它会修改hosts文件，把360、金山等安全软件的更新服务器都指向127.0.0.1。这就好比把报警电话全部转接到空号，让杀毒软件变成"瞎子"。

2.2 进程注入的"隐身术"

病毒会注入到explorer.exe等系统进程中运行。用PChunter查看时，能看到这些进程加载了异常的dll模块。我遇到过最夸张的情况是一个explorer.exe进程里同时注入了5个病毒模块，就像在正规酒店里开了多个暗门。

2.3 注册表的"连环套"

病毒在注册表里主要做三件事：

1. 添加启动项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. 设置映像劫持：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
3. 禁用安全工具：修改注册表权限阻止杀软运行

映像劫持这个设计特别阴险。它会劫持regedit.exe，当你尝试打开注册表编辑器时，实际运行的是病毒程序。这就好比你想拿钥匙开门，结果钥匙自己变成了小偷。

3. 手把手查杀指南

3.1 准备作战工具包

工欲善其事必先利其器，我常年备着这些工具：

• PChunter：进程/注册表/文件全能分析
• D盾：实时监控文件变化
• Process Explorer：微软官方进程工具
• Autoruns：启动项管理神器

建议把这些工具放在U盘里，因为中毒后可能无法联网下载。我就吃过这个亏，最后只能用手机下载再传到电脑。

3.2 步步为营的清除流程

1. 断网：拔掉网线，防止病毒外传数据
2. 杀进程：

   taskkill /f /im qvkwjh.exe taskkill /f /im jwbnlb.exe

3. 删文件：
   • 用PChunter强制删除system32下的病毒文件
   • 特别注意检查drivers目录
4. 清注册表：
   • 删除所有Image File Execution Options下的劫持项
   • 清理Run键值中的可疑启动项
5. 修复hosts：

   attrib -r -h c:\windows\system32\drivers\etc\hosts echo 127.0.0.1 localhost > c:\windows\system32\drivers\etc\hosts

3.3 那些年踩过的坑

第一次处理时没注意到U盘里的autorun.inf，结果刚清完病毒，一插U盘又中招了。后来学乖了，现在都习惯用右键菜单的"打开"来操作磁盘。

还有个隐蔽的坑是病毒会修改系统时间。有次清除后所有https网站都打不开，排查半天发现是系统时间被改成2004年，导致证书失效。

4. 防患于未然的建议

4.1 日常防护四件套

1. UAC开到最高：虽然烦人但真能防住大部分木马
2. 显示文件扩展名：避免把qq.jpg.exe当成图片
3. 定期备份hosts：我每个月都会备份一次
4. 禁用自动播放：

   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff

4.2 值得推荐的监控策略

在服务器上我通常会配置这些监控项：

• 监控system32目录的文件变化
• 记录所有新增启动项
• 监控关键注册表键值修改
• 定期对比hosts文件MD5值

可以用简单的批处理实现自动化监控：

@echo off fc c:\windows\system32\drivers\etc\hosts d:\backup\hosts.bak || echo Hosts文件被修改 >> d:\log\security.log

5. 病毒背后的技术原理

5.1 盗号机制解析

病毒会挂钩以下API函数：

• QQ的密码输入框消息处理函数
• 键盘钩子WH_KEYBOARD_LL
• 内存读写相关API

当检测到QQ窗口时，就记录键盘输入和窗口内容。我逆向分析过一个样本，发现它每隔5分钟就会把窃取的数据打包发送到指定邮箱。

5.2 自我保护手段

病毒采用多种反检测技术：

• 进程注入：把代码藏到正常进程里
• 文件隐藏：设置系统和隐藏属性
• 注册表监控：检测注册表工具运行
• 杀软对抗：专门针对360和金山做绕过

最绝的是某个变种会检测虚拟机环境，在沙箱里表现得很"老实"，一到真实环境就原形毕露。

6. 应急响应实战记录

去年帮一家小公司处理过大规模感染，他们的共享服务器成了重灾区。处理过程整整花了8个小时，主要因为：

1. 病毒在局域网内通过共享文件夹传播
2. 有些电脑的杀软反而被病毒禁用了
3. 员工习惯双击打开U盘

最后我们采取的措施是：

• 断网后逐台查杀
• 重建所有主机的hosts文件
• 统一部署组策略禁用自动播放
• 开展全员安全意识培训

这次经历让我深刻体会到，技术措施+人员管理才是完整的防护方案。现在他们公司每季度都会做一次安全演练，再没出现过大规模感染。