星星电脑技术论坛 » 系统安全中心 » SysWin7z.Jmp SysWin7z.sys木马手动解决方案

52硬件 发表于 2007-11-3 16:02

SysWin7z.Jmp SysWin7z.sys木马手动解决方案

SysWin7z.Jmp SysWin7z.sys木马手动解决方案
9{Grxbx4l
5lv.O.w9L3V-^ 作者:幸福的狮… 　　文章出处:CISRT 　　RBd4ZLx4}$X
i7A(b9]o]:rP
病毒名称：Trojan-PSW.Win32.QQPass.ajo（Kaspersky）.jQb*k)G
　　病毒别名：Worm.Win32.PaBug.cf（瑞星），Win32.Troj.QQPassT.ah.110771（毒霸）
qPBY}'c5a4`\q 　　病毒大小：32,948 字节 Lq:So\|Q,P
　　加壳方式：UPX\9i;D_?8Kv
　　样本MD5：772f4dfc995f7c1ad6d1978691190cde
4["}4Jd9s+vH 　　样本SHA1：e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc tM!fh
x.}7BB(w5}
　　关联病毒：X:ZC]X:D%M,}a+c
　　传播方式：通过恶意网页传播、其它木马下载、优盘及移动硬盘传播*Yj aR`!@
f
!^4|7|$EJTcg7?
/WY&n8y%LN a7wg
　　技术分析+US4R7a)qB
YhMs
@
　　==========
0?6]O(g_'Bj`)E :H)h&_2{Bl&? L$MR
/\w:J
ayv`cNk
　　木马运行后将自身复制到：5G
T)XdvKs
　　%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
z}?&MWS
zbx 　　%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys
0B ryTcC
Q7z@9N7u+|'{ 　　创建ShellExecuteHooks启动信息： %z/E`B-C&DAhW
　　代码:
CVHf*rez+vm [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]~!Crs.T8?
"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"=""
Uu"k7Xi[J
q)`)z"O/ebd!S*M~ [HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32]jw}!a!iz,m
@="%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.sys"
_:^D!`bui$Ru,h 　　代码:ksN-kO2E.mL'l
[HKEY_CURRENT_USER\Software\Tencent\Deta3]
[E4Qs7A "Ft"
nJ%l(N?3jn4n2?#D 查找本机E盘，并在其根目录生成：`T4s.R+xU6|)A
Autorun.inf和Autorun.exe文件，试图通过优盘传播。,L!\:wt)ri:Nt
lt

.?L
c ntv 　　木马病毒运行后会自动从用户QQ中随机挑选好友，组成临时讨论组。它会向组中好友发送内容为“[url]www.fxxxxx.cn/1651.rar[/url]这里有我的照片帮我顶下记得回复我哦点击就可下载”的消息。讨论组中的其他用户打开链接中的文件就可能被病毒感染。木马会访问网络下载其它病毒、木马或恶意程序到临时目录并运行。
_J'_G'j a/Q
M
B-Y

NXUq6})goj4F*B0_q 　　清除步骤.J1]w!l1p)NYm
　　==========%NLH
IO*QX;g|&D
?yr+gdOl
　　**** Hidden Message *****

vista 发表于 2007-11-5 19:37

SysWin7z.Jmp SysWin7z.sys木马手动解决方法

:handshake

查看完整版本: SysWin7z.Jmp SysWin7z.sys木马手动解决方案