病毒名稱：Trojan-PSW.Win32.QQPass.ajo（Kaspersky）
　　病毒別名：Worm.Win32.PaBug.cf（瑞星），Win32.Troj.QQPassT.ah.110771（毒霸）
　　病毒大小：32,948 字節(jié)
　　加殼方式：UPX
　　樣本MD5：772f4dfc995f7c1ad6d1978691190CDe
　　樣本SHA1：e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc
　　關(guān)聯(lián)病毒：
　　傳播方式：通過惡意網(wǎng)頁傳播、其它木馬下載、優(yōu)盤及移動(dòng)硬盤傳播


　　技術(shù)分析
　　==========


　　木馬運(yùn)行后將自身復(fù)制到：
　　
Code:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
　　%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys


　　創(chuàng)建ShellExecuteHooks啟動(dòng)信息： 


Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"=""

[HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.sys"
　　代碼:
[HKEY_CURRENT_USER\Software\Tencent\Deta3]
"Ft"


查找本機(jī)E盤，并在其根目錄生成：
Autorun.inf和Autorun.exe文件，試圖通過優(yōu)盤傳播。

　　木馬病毒運(yùn)行后會(huì)自動(dòng)從用戶QQ中隨機(jī)挑選好友，組成臨時(shí)討論組。它會(huì)向組中好友發(fā)送內(nèi)容為“www.fxxxxx.cn/1651.rar這里有我的照片幫我頂下記得回復(fù)我哦點(diǎn)擊就可下載”的消息。討論組中的其他用戶打開鏈接中的文件就可能被病毒感染。木馬會(huì)訪問網(wǎng)絡(luò)下載其它病毒、木馬或[url=http://www.pxue.com/Tag/93/1.html]惡意程序[/url]到臨時(shí)目錄并運(yùn)行。


　　清除步驟
　　==========

　　1. 刪除木馬創(chuàng)建的ShellExecuteHooks項(xiàng)(開始菜單－運(yùn)行－輸入“regedit”進(jìn)入注冊(cè)表依次找到說明選項(xiàng)并按提示操作)： 
　　代碼:
　　
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"

　　[HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}]


　　2. 重新啟動(dòng)計(jì)算機(jī)

　　3. 刪除木馬文件：
　　
Code:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
　　%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys

　　如果存在E盤，刪除：
　　
Code:
E:\Autorun.inf
　　E:\Autorun.exe


　　4. 刪除注冊(cè)表信息(開始菜單－運(yùn)行－輸入“regedit”進(jìn)入注冊(cè)表依次找到說明選項(xiàng)并按提示操作)： 
　　
Code:
[HKEY_CURRENT_USER\Software\Tencent\Deta3]

最新評(píng)論