作者:清新阳光 ( http://hi.baidu.com/newcenturysun) 日期:2007/06/11 (转载请保留此申明) 最近接到很多人报告说 在其E盘下面出现SysAuto.exe的情况 并且删除后重启又有 今天拿到了样本 这是一个QQ盗号木马 File: SysAuto.exe Size: 30821 bytes MD5: 06A8E6053BE98D14F35A93CDC6F9A7CF SHA1: 8C8BD8A4D27A5398DAB59E69D1CD5B7F9DDF9A0B CRC32: E9103F5F 生成物: C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp C:\Program Files\Internet Explorer\PLUGINS\System64.Sys E 盘下生成一个AutoRun.Inf和一个SysAuto.exe System64.Sys插入Explorer进程 通过FindWindowsExA函数查找 QQ登陆窗口 System64.Jmp其实就是那个SysAuto.exe 用于不断向E盘复制SysAuto.exe 增加HKLM\SOFTWARE\Classes\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32\: "C:\Program Files\Internet Explorer\PLUGINS\System64.Sys" 达到开机启动目的 sreng日志可见 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{754FB7D8-B8FE-4810-B363-A788CD060F1F}> 清除办法:(此病毒只是最近众多木马中其中一个,一般中此毒者的机器中会同时存在其他一些木马,请根据自身情况查找其他木马和病毒) 1.打开sreng 启动项目 注册表 删除如下项目 <{754FB7D8-B8FE-4810-B363-A788CD060F1F}> 重启计算机 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 右键点击 右键菜单中的第二个“打开” 打开E盘删除AutoRun.Inf和一个SysAuto.exe 删除C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp C:\Program Files\Internet Explorer\PLUGINS\System64.Sys 即可 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-10-1 12:21 , Processed in 0.122381 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.