|
|
|
病毒名称:Trojan-PSW.Win32.Delf.oc(Kaspersky)
病毒别名:Trojan.PSW.QQPass.qxp(瑞星)
Win32.Troj.PSW.QQ.34086(毒霸)
病毒大小:34,003 字节
加壳方式:NSPack
样本MD5:9bfbd1410ea834f7ce39edbeaef7e683
样本SHA1:35b3e15a38f37682c88f72c559ca54698d9cccaf
发现时间:2006.12
更新时间:2006.12
关联病毒:
传播方式:通过恶意网页传播,其它木马下载
技术分析
==========
这是一个盗Q木马,运行后复制自身到:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
释放动态链接库文件注入进程:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
在当前目录生成_xiaran.bat删除主程序原文件:
:try
del "exe"
if exist "exe" goto try
del %0
创建ShellExecuteHooks启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=""
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys"
创建注册表信息:
[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]
"DL"="2"
清除步骤
==========
1. 删除病毒创建的ShellExecuteHooks启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}]
2. 重新启动计算机
3. 删除病毒文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
4. 删除病毒创建的注册表信息:
[HKEY_CURRENT_USER\Software\Microsoft\qqjdd] |
|
发表于 2006-12-26 09:37:19
收藏
|