档案编号:CISRT2006084
病毒名称:N/A(Kaspersky) 病毒别名:Win32.PSWTroj.QQ.ng.26409(毒霸) 病毒大小:26,373 字节 加壳方式:UPack 样本MD5:cb4c1144c291d49dcadda54e45ff2a73 样本SHA1:78b501502ffeab031afe32e058b4e8c08d999c53 发现时间:2006.11 更新时间:2006.11 关联病毒: 传播方式:通过恶意网页传播,其它木马下载 技术分析 ========== 这是一个盗Q木马,盗取QQ号码和密码后发送到远程主机。 EXE主程序运行后释放dll文件到: %ProgramFiles%/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp 注入其它进程。 在当前目录生成批处理_xr.bat删除自身:
:try
del "原文件" if exist "原文件" goto try del %0 创建启动信息,通过 ShellExecuteHooks启动:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}"="" [HKEY_CLASSES_ROOT/CLSID/{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}/InProcServer32] @="%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp" 当QQ运行时病毒会删除npkcrypt.sys文件,破坏QQ的键盘密码保护。 清除步骤 ========== 1. 删除病毒启动信息:
CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}"
若不清楚其注册表中的项,可打开
超级兔子,选IE项,下一步扫描。
结果为"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}未知……
钩子……/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp"
[HKEY_CLASSES_ROOT/CLSID/{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}] 2. 重新启动计算机 3. 删除病毒文件: %ProgramFiles%/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp |
盗Q木马 SysInfo.wmp 解决方案
最新推荐文章于 2020-08-12 15:12:07 发布