[quote]转载[/quote] [url]http://www.9dnw.com/bd/qc/2009/1023/1021.html[/url]
0.bat,wmitpfs.dll病毒清除方法
收录时间:2009-10-23 21:45:45 来源:www.9dnw.com 作者:救电脑网 【大 中 小】点击: 598
病毒详细解析
最近朋友的qq总是无缘无故上了过一会就掉线,有些杀软(瑞星、江民、光华等)检查不到木马病毒,昨天帮他分析了以下结果,如有疑问可联
系我,或者在我的网站留言给我,我会尽快回复!
病毒分析
(1)判断自身是否为%SystemRoot%\explorer.exe,如果是,则执行explorer.exe。
(2)初始化Native Unicode字符串"\BaseNamedObjects\6953EA60-8D5F-4529-8710-42F8ED3E8CDA",获取当前进程列表,查找进程
"avp.exe"是否存在,如果找到,调用DuplicateHandle函数复制该进程句柄,然后通过创建事件对象,更换进程令牌,并且枚举
系统句柄表把avp.exe的运行环境破坏掉,达到终止其进程目的。
(3)提升自身进程权限,创建进程命名管道,分别为:\\.\pipe\TNTH7l38CH41SYSSVC_PIPE、[url=file://\\.\pipe\QQH7l38CH41_SYSTEM_SVC_PIPE]\\.\pipe\QQH7l38CH41_SYSTEM_SVC_PIPE[/url]、
[url=file://\\.\pipe\THH417l_PNTI8CSPE3YSSVC]\\.\pipe\THH417l_PNTI8CSPE3YSSVC[/url],实现进程简数据共享。
(4)释放动态链接库%SystemRoot%\system32\wmitpfs.dll,并创建名为"wmitpfs"的服务,通过该服务加载wmitpfs.dll。
(5)获得进程快照,查找"QQ 2009"进程是否存在,如果找到,终止该进程,并将%SystemRoot%\system32\wmitpfs.dll注入到
%SystemRoot%\explorer.exe进程。
(6)监视"QQ 2009"登录框的帐号、密码输入及按钮事件,将获得的帐号密码加密后发送到黑客指定网址,完成QQ号的盗取。
(7)释放批处理文件%TEMP%\0.bat并执行,删除自身和0.bat,退出进程。
病毒创建文件:
%SystemRoot%\system32\wmitpfs.dll
%TEMP%\0.bat
病毒删除文件:
%TEMP%\0.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
该样本是使用“VC”编写的盗 号木马,采用“FSG 2.0”加壳方式,企图躲避特征码扫描,加壳后长度为“57,461 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为盗取“QQ 2009”帐号密码。用户中毒后,会出现网络速度降低,运行QQ后系统运行缓慢,“QQ 2009”无故退出,QQ号被盗等现象。感染98以上系统
手动解决办法:
病毒文档目录,通常为“C:\Documents and Settings”
%Temp% 病毒文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
1、手动删除以下文件:
%SystemRoot%\system32\wmitpfs.dll
2、手动删除以下注册表值:
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
--文章来自救电脑网:http://www.9dnw.com/bd/qc/2009/1023/1021.html
--救电脑网——排除电脑故障!
0.bat,wmitpfs.dll病毒清除方法
收录时间:2009-10-23 21:45:45 来源:www.9dnw.com 作者:救电脑网 【大 中 小】点击: 598
病毒详细解析
最近朋友的qq总是无缘无故上了过一会就掉线,有些杀软(瑞星、江民、光华等)检查不到木马病毒,昨天帮他分析了以下结果,如有疑问可联
系我,或者在我的网站留言给我,我会尽快回复!
病毒分析
(1)判断自身是否为%SystemRoot%\explorer.exe,如果是,则执行explorer.exe。
(2)初始化Native Unicode字符串"\BaseNamedObjects\6953EA60-8D5F-4529-8710-42F8ED3E8CDA",获取当前进程列表,查找进程
"avp.exe"是否存在,如果找到,调用DuplicateHandle函数复制该进程句柄,然后通过创建事件对象,更换进程令牌,并且枚举
系统句柄表把avp.exe的运行环境破坏掉,达到终止其进程目的。
(3)提升自身进程权限,创建进程命名管道,分别为:\\.\pipe\TNTH7l38CH41SYSSVC_PIPE、[url=file://\\.\pipe\QQH7l38CH41_SYSTEM_SVC_PIPE]\\.\pipe\QQH7l38CH41_SYSTEM_SVC_PIPE[/url]、
[url=file://\\.\pipe\THH417l_PNTI8CSPE3YSSVC]\\.\pipe\THH417l_PNTI8CSPE3YSSVC[/url],实现进程简数据共享。
(4)释放动态链接库%SystemRoot%\system32\wmitpfs.dll,并创建名为"wmitpfs"的服务,通过该服务加载wmitpfs.dll。
(5)获得进程快照,查找"QQ 2009"进程是否存在,如果找到,终止该进程,并将%SystemRoot%\system32\wmitpfs.dll注入到
%SystemRoot%\explorer.exe进程。
(6)监视"QQ 2009"登录框的帐号、密码输入及按钮事件,将获得的帐号密码加密后发送到黑客指定网址,完成QQ号的盗取。
(7)释放批处理文件%TEMP%\0.bat并执行,删除自身和0.bat,退出进程。
病毒创建文件:
%SystemRoot%\system32\wmitpfs.dll
%TEMP%\0.bat
病毒删除文件:
%TEMP%\0.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
该样本是使用“VC”编写的盗 号木马,采用“FSG 2.0”加壳方式,企图躲避特征码扫描,加壳后长度为“57,461 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为盗取“QQ 2009”帐号密码。用户中毒后,会出现网络速度降低,运行QQ后系统运行缓慢,“QQ 2009”无故退出,QQ号被盗等现象。感染98以上系统
手动解决办法:
病毒文档目录,通常为“C:\Documents and Settings”
%Temp% 病毒文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
1、手动删除以下文件:
%SystemRoot%\system32\wmitpfs.dll
2、手动删除以下注册表值:
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
--文章来自救电脑网:http://www.9dnw.com/bd/qc/2009/1023/1021.html
--救电脑网——排除电脑故障!
1439
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
