盗Q木马 system.jmp system16.sys 解决方案
2006-11-16 21:03
盗Q木马 system.jmp system16.sys 解决方案档案编号:CISRT2006056
病毒名称:Trojan-PSW.Win32.OnLineGames.ar(Kaspersky)
病毒别名:
病毒大小:30,410 字节
加壳方式:UPX
样本MD5:46267af8c952e3e053687a8e114f3cb9
样本SHA1:e5be8fa7cf249c3d2dd51216d51671ea75623435
发现时间:2006.10
更新时间:2006.10.28
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
运行后复制自身到%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp,释放%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys注入进程。
创建ShellExecuteHooks:
设置注册表信息:
清除步骤
==========
1.删除注册表里病毒创建的ShellExecuteHooks信息:
2.重新启动计算机
3.删除病毒文件:
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys
4.删除病毒创建的注册表信息:
病毒名称:Trojan-PSW.Win32.OnLineGames.ar(Kaspersky)
病毒别名:
病毒大小:30,410 字节
加壳方式:UPX
样本MD5:46267af8c952e3e053687a8e114f3cb9
样本SHA1:e5be8fa7cf249c3d2dd51216d51671ea75623435
发现时间:2006.10
更新时间:2006.10.28
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
运行后复制自身到%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp,释放%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys注入进程。
创建ShellExecuteHooks:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""
[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""
[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"
设置注册表信息:
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]
清除步骤
==========
1.删除注册表里病毒创建的ShellExecuteHooks信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""
[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""
[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"
2.重新启动计算机
3.删除病毒文件:
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys
4.删除病毒创建的注册表信息:
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]