盗Q木马 SysInfo.wmp 解决方案

最新推荐文章于 2020-08-12 15:12:07 发布
最新推荐文章于 2020-08-12 15:12:07 发布
阅读量1.8k 收藏
点赞数
文章标签: c qq exe dll ie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mini_Pray/article/details/1429981
版权

档案编号:CISRT2006084
病毒名称:N/A(Kaspersky)
病毒别名:Win32.PSWTroj.QQ.ng.26409(毒霸)
病毒大小:26,373 字节
加壳方式:UPack
样本MD5:cb4c1144c291d49dcadda54e45ff2a73
样本SHA1:78b501502ffeab031afe32e058b4e8c08d999c53
发现时间:2006.11
更新时间:2006.11
关联病毒
传播方式:通过恶意网页传播,其它木马下载


技术分析
==========

这是一个盗Q木马,盗取QQ号码和密码后发送到远程主机。

EXE主程序运行后释放dll文件到:
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp
注入其它进程。

在当前目录生成批处理_xr.bat删除自身:

CODE:
:try
del "原文件"
if exist "原文件" goto try
del %0

创建启动信息,通过 ShellExecuteHooks启动:

CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}"=""

[HKEY_CLASSES_ROOT/CLSID/{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}/InProcServer32]
@="%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp"

当QQ运行时病毒会删除npkcrypt.sys文件,破坏QQ的键盘密码保护。


清除步骤
==========

1. 删除病毒启动信息:

[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}"
若不清楚其注册表中的项,可打开 超级兔子,选IE项,下一步扫描。
结果为"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}未知……
钩子……/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp"

[HKEY_CLASSES_ROOT/CLSID/{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}]

2. 重新启动计算机

3. 删除病毒文件:
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp
 
Mini_Pray
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
q
F1fms的专栏
03-27 1290
我朋友的qq被人了,谁可以帮忙教我回来啊。感谢了,大家。申诉就不用了,她的资料基本忘记了 
DelphiQ木马核心程序
c9cad的专栏
04-14 749
 unit GCommonMethods;{$I Complier.inc}interfaceuses Windows, SysUtils, GConsts, GNetMethods, GQQFindMethods;procedure CreateMainWindow(hInst: HMODULE; const ClassName: string; var OutHandle: HWND);p
Q过程分析(待完善,仅用于分析)
ccx_john的专栏
08-25 1130
#include #include #include "resource.h" char qqid[32] = "\0"; char qqpass[64] = "\0";    //保存用户输入的QQ密码 HWND g_hWnd = NULL; RECT g_qq_IDRt,g_qq_PassRt,g_qq_LoginRt,g_qq_CancelRt,g_qq_DlgRt; HB
浅谈一次QQ取(攻击)事件
weixin_43726831的博客
04-06 6930
浅谈一次QQ取(攻击)事件 注:本篇博客,仅谈一下博主个人在一些安全事件上一些见解,个人技术有限,可能会有一些理解、表述不到位的地方,欢迎大家进行评论 1>背景介绍 2>攻击过程分析 3>攻击防范 1.背景介绍 在各种聊天软件盛行的今天,各种取账号、利用用户账号敲诈勒索等行为层出不穷,我们经常在QQ中会遇到各种号行为,比如: 在QQ空间(说说)、QQ群在用户不...
将行
逆风飞翔的博客
08-12 1563
“我得玉簪,原想以它为聘,却再无缘将它插于你发间。此生短,惟愿来世,惟愿生生世世。”大将玉簪埋于枇杷树下,原是想着佳人需得美玉相配,却忘了来的东西终归是有损阴德。那些年劫富济贫,他自诩命硬从未憷过,却不想,终归是善恶有报,催了她的命,留他孑然一身,却不能潇潇洒洒,了无牵挂。披甲上阵,他的勇猛竟能以一敌百,非是武艺高强,实乃不惧生死。刀剑过处,阴阳相隔...
cvmx-sysinfo.rar_SYSINFO_The Information
09-19
`cvmx-sysinfo`模块专门为此目的而设计,它由`cvmx-sysinfo.c`和`cvmx-sysinfo.h`两个源文件组成,为Bootloader提供了获取这些关键信息的能力。接下来,我们将深入探讨这个模块的功能、工作原理以及其在实际应用中的...
sysinfo.cr:适用于Crystal的Psutil
02-04
标签中提到的"network netstat processes sysinfo top htop psutil psutils gopsutil"表明sysinfo.cr不仅兼容了类似netstat的网络信息查询,也借鉴了top、htop等工具的功能,提供了一套全面的系统监控解决方案。...
get_sysinfo.sh
02-02
商信息: Inspur NF5180M5, Serial NO: CPU信息 : Intel(R) Xeon(R) Platinum 8160H CPU @ 2.10GHz, 96核 = 2 Socket X 24 cores X 2 Thr, cpufreq=999.884 内存 : 256GB = 32GB X 8 (Micron DDR4 2666 MHz) ...
sysinfo.7z
07-08
"sysinfo.7z"是一个压缩包文件,其中包含了一个名为"sysinfo"的程序或库,它专注于提供系统信息监测功能。这个工具可能适用于多种操作系统,因此它具有跨平台的特点,可以满足不同用户在不同系统环境下的需求。在...
cvmx-sysinfo.rar_The Information
09-24
本文将探讨"CVMX-SysInfo"模块,它是如何通过引导加载器获取系统板信息的,并分析其核心文件`cvmx-sysinfo.c`和`cvmx-sysinfo.h`。 CVMX(Chip Vector Math eXtensions)是OpenSPARC T1和T2处理器架构中的一个关键...
QQkey登录空间和邮箱.e
05-21
QQkey登录空间和邮箱的源码大家可以学习下
QQ密码的Trojan.PSW.QQPass.rky正通过QQ信息中的网址传播
Purpleendurer@CSDN
01-29 2236
endurer 原创2007-01-29 第1版QQ收到如下信息:/-------hxxp://www.a**hw**l**q*t.com/**1*23**.html 这里有我的照片大家来看下顺便给个评价谢谢了-------/打开该网页,没有内容,但网页中的VBScript代码会利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件
qq好友列表获取之动态爬虫清洗爬取好友列表数据 - 获取qq好友、群、群成员列表
码在天涯
03-04 4827
qq好友列表获取之动态爬虫清洗爬取qq好友列表数据 - 获取qq好友ip、群、群成员列表。我们的好友列表要从 qzone 获取,现在打开 qzone 的链接https://h5.qzone.qq.com/mqzone/index并且登陆。 具体步骤: 1、分析qzone请求 2、分析参数来源 3、仿照数据请求 上次写的一个qzone登陆写的不详细这次决定写一个详细分析qzone js 获...
Uicc之CatService(原)
阿杜的专栏
08-06 5768
CatService主要负责STK菜单的相关事宜,本节我们就来分析该对象。 一、CatService的创建过程         在前面第二节中我们分析过,在UiccCard的更新过程中,会初始化CatService对象:
#include <sys/sysinfo.h>
最新发布
04-26
`#include <sys/sysinfo.h>`是一个C语言的头文件,它提供了一些函数和结构体来获取系统的信息。其中最常用的函数是`getloadavg()`,它可以获取系统的平均负载。 以下是一个使用`getloadavg()`函数获取系统平均负载的示例代码: ```c #include <stdio.h> #include <sys/sysinfo.h> int main() { double loadavg; if (getloadavg(loadavg, 3) != -1) { printf("1分钟内的平均负载: %.2f\n", loadavg); printf("5分钟内的平均负载: %.2f\n", loadavg); printf("15分钟内的平均负载: %.2f\n", loadavg); } else { printf("获取平均负载失败\n"); } return 0; } ``` 这段代码会输出系统的1分钟、5分钟和15分钟内的平均负载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值