QQ尾巴 InfoMs.Ime 解決方案

更新時間：2007年01月08日 00:00:00 作者：

檔案編號：CISRT2007002
病毒名稱：Trojan.Win32.Delf.rf（Kaspersky）
病毒別名：Trojan.QQMSG.Liumazi（瑞星）
　　　　　 Win32.Troj.QQMsgInfo.28688（毒霸）
病毒大?。?7,900 字節(jié)
加殼方式：UPX
樣本MD5：b95d1102bcddfa26fb9a3f40129d2353
樣本SHA1：0e52cbcc5fedf47408bad58aa1f0aaf9e00eeae2
發(fā)現(xiàn)時間：2007.1
更新時間：2007.1
關(guān)聯(lián)病毒：
傳播方式：QQ消息、惡意網(wǎng)頁、其它病毒下載

技術(shù)分析
==========

這是一個QQ尾巴木馬，運行后釋放dll庫文件：

Code:

%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime

創(chuàng)建ShellExecuteHooks啟動信息：

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime"

向QQ好友發(fā)送信息：

Quote:
看了這個網(wǎng)站再說
http://8788.www-qq.cn

清除步驟

1. 刪除木馬的ShellExecuteHooks啟動信息：

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}]

2. 重新啟動計算機

3. 刪除木馬文件：

Code:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime