|
病毒名称:Trojan-PSW.Win32.QQPass.qg(Kaspersky)
病毒别名:Win32.Troj.QQPass.nj.43490(毒霸)
Trojan.PSW.QQPass.rky(瑞星)
病毒大小:43,490 字节
加壳方式:
样本MD5:25c796d526b18a2e244b93bb6074f23a
样本SHA1:40f0a76db078ee90f12da1ddd43242519624768e
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
盗Q木马,之前变种:
盗Q木马 system.jmp system.sys 解决方案
盗Q木马 system.jmp system16.sys 解决方案
盗Q木马 system.jmp system18.sys 解决方案
木马运行后将自身复制到:
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
同时在这个目录释放dll注入进程:
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys
创建ShellExecuteHooks:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
清除步骤
1. 删除病毒创建的ShellExecuteHooks项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
2. 重新启动计算机
3. 删除文件:
c:\ProgramFiles\Internet Explorer\PLUGINS\system2.jmp
c:\ProgramFiles\Internet Explorer\PLUGINS\SystemKb.sys
4、病毒清除完毕。
|
