星星电脑技术论坛 » 系统安全中心 » SysWin7z.Jmp SysWin7z.sys木马手动解决方案

52硬件 发表于 2007-11-3 16:02

SysWin7z.Jmp SysWin7z.sys木马手动解决方案

SysWin7z.Jmp SysWin7z.sys木马手动解决方案 .V8BN:e.y"Qf

wCv$^%t8X QT/k 作者:幸福的狮… 　　文章出处:CISRT 　　
$FL"j@3f#|8Ux2\
+L-Aoo-v 病毒名称：Trojan-PSW.Win32.QQPass.ajo（Kaspersky）t"q+e1}C#c9Lt(Ha
　　病毒别名：Worm.Win32.PaBug.cf（瑞星），Win32.Troj.QQPassT.ah.110771（毒霸）
"X,R!J*xR4C{ 　　病毒大小：32,948 字节-M kO*@p
　　加壳方式：UPX6].J O,`z x;R2t%gj:];l
　　样本MD5：772f4dfc995f7c1ad6d1978691190cde
+J s C3xt#d 　　样本SHA1：e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc
"oVnx I"tS 　　关联病毒：
o9Fb)[-s;c,TtO1} 　　传播方式：通过恶意网页传播、其它木马下载、优盘及移动硬盘传播N$H9U%j2o

y~4a4p'_I D
.uh4JH~1z 　　技术分析jh*D1^i
　　==========
;` s:j]%UB2N2c
_lVxQ U;@R #xB
~G3Ns
　　木马运行后将自身复制到：
0Pll+j"wM+j
sO 　　%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp*Lt9Q-L4g H-c
　　%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys"db5o#EyRw
^h`.g*Jz#hEt f
　　创建ShellExecuteHooks启动信息： Dl4xh4X/`,Q GZvc-j
　　代码:
;[(o5|a~x [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]U@R9ubF
"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"=""
0C@t5CB"u C v3u]
Eo\1u!L [HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32]{:eff1BmN ?A
@="%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.sys"
o.d e ks.P*\1] 　　代码:
j7tl"M(g g1Au
[HKEY_CURRENT_USER\Software\Tencent\Deta3]dQ8IpU
"Ft"O ^n s7^"_5?&J|
查找本机E盘，并在其根目录生成：;i_@/ok.c E6`
Autorun.inf和Autorun.exe文件，试图通过优盘传播。QBu9k1WUL
:Vc2G0ip~9E&`
　　木马病毒运行后会自动从用户QQ中随机挑选好友，组成临时讨论组。它会向组中好友发送内容为“[url]www.fxxxxx.cn/1651.rar[/url]这里有我的照片帮我顶下记得回复我哦点击就可下载”的消息。讨论组中的其他用户打开链接中的文件就可能被病毒感染。木马会访问网络下载其它病毒、木马或恶意程序到临时目录并运行。
;R)Qb,rdb 8|1V&Ep(_!^M
u(S%tIVk
　　清除步骤e/g&X8N*c#z&ra
　　==========
U-Ij+j2t!S"?$L"h 7Na_ Rmi7eZ E
　　**** Hidden Message *****

hxj316 发表于 2011-5-14 12:50

顶一下，不错不错....

查看完整版本: SysWin7z.Jmp SysWin7z.sys木马手动解决方案