檔案編號(hào)：CISRT2007002
病毒名稱：Trojan.Win32.Delf.rf（Kaspersky）
病毒別名：Trojan.QQMSG.Liumazi（瑞星）
　　　　　 Win32.Troj.QQMsgInfo.28688（毒霸）
病毒大小：27,900 字節(jié)
加殼方式：UPX
樣本MD5：b95d1102bcddfa26fb9a3f40129d2353
樣本SHA1：0e52cbcc5fedf47408bad58aa1f0aaf9e00eeae2
發(fā)現(xiàn)時(shí)間：2007.1
更新時(shí)間：2007.1
關(guān)聯(lián)病毒：
傳播方式：QQ消息、惡意網(wǎng)頁(yè)、其它病毒下載


技術(shù)分析
==========

這是一個(gè)QQ尾巴木馬，運(yùn)行后釋放dll庫(kù)文件：

Code:

%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime


創(chuàng)建ShellExecuteHooks啟動(dòng)信息：



Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime"


向QQ好友發(fā)送信息：


Quote:
看了這個(gè)網(wǎng)站再說(shuō)
http://8788.www-qq.cn


清除步驟

1. 刪除木馬的ShellExecuteHooks啟動(dòng)信息：



Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}]


2. 重新啟動(dòng)計(jì)算機(jī)

3. 刪除木馬文件：

Code:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime 

最新評(píng)論