SysWin7z.Jmp SysWin7z.sys木马手动解决方案
C$ s- ~4 F' ~3 P2 f# U1 O" X
# @% m$ G: f9 c( H
作者:幸福的狮… 文章出处:CISRT
4 C. E; Y* {$ s/ c4 k9 {; O G5 f4 E! N
病毒名称:Trojan-PSW.Win32.QQPass.ajo(Kaspersky)
x( f7 P# l3 ? x# Y# o
病毒别名:Worm.Win32.PaBug.cf(瑞星),Win32.Troj.QQPassT.ah.110771(毒霸)
/ Z3 p6 Y5 @9 w- M! I$ ^ 病毒大小:32,948 字节
! |' p8 P+ a6 Q7 L9 R
加壳方式:UPX
o, o8 |4 f/ Z z( g' w 样本MD5:772f4dfc995f7c1ad6d1978691190cde
8 p1 R% a0 F7 X9 ~
样本SHA1:e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc
0 n3 J& i5 {& }
关联病毒:
7 C% W" C1 O* u. K7 B& n6 S' j9 e 传播方式:通过恶意网页传播、其它木马下载、优盘及移动硬盘传播
+ q9 L3 L; ~+ ^
! @- e$ }' {4 f: g7 c, y2 i. `1 |
技术分析
8 g4 q) T+ C) c$ \; X+ c+ Z& `; L
==========
! h$ A- M$ B1 z0 M( }
, B% A$ N" o$ D+ u, `: x7 Z' D$ d: k
木马运行后将自身复制到:
4 Z( T2 M8 n$ d8 W0 L0 \& c) q
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
6 A) W" C( O$ N8 v
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys
7 E9 ?( @3 ]4 `* e7 A
; B6 u* R, @5 X0 O6 `2 e" \3 {2 Q 创建ShellExecuteHooks启动信息:
$ R4 L% Q K! }+ F
代码:
& f- c8 c. l7 h& x u- d
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
' z# \5 _; X: |; c4 N. S"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"=""
+ n& G6 ~; k2 P* f" x3 y/ | C* _) Q% q6 u
[HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32]
+ A5 U4 [% d2 r& ]9 w2 T. p@="%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.sys"
/ W$ S g# C; S4 s- I3 r
代码:
$ E2 C7 _) j8 l' s+ i; t[HKEY_CURRENT_USER\Software\Tencent\Deta3]
& Q! i6 d0 B4 t: m"Ft"
: K1 [( s: X4 O1 b- [查找本机E盘,并在其根目录生成:
' K8 J2 ` }) q0 _( x& CAutorun.inf和Autorun.exe文件,试图通过优盘传播。
/ \" W/ I; D1 \* x/ D
" T- q+ B8 V2 O
木马病毒运行后会自动从用户QQ中随机挑选好友,组成临时讨论组。它会向组中好友发送内容为“
www.fxxxxx.cn/1651.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”的消息。讨论组中的其他用户打开链接中的文件就可能被病毒感染。木马会访问网络下载其它病毒、木马或恶意程序到临时目录并运行。
2 P+ ^: X. i: z3 M
4 F* `+ v/ j$ b
! A% X5 E- z9 \8 L+ A( }, m- } 清除步骤
6 d6 h( l; U3 P ==========
3 G( T2 S/ ~& F: O4 C3 A6 ^
& Z, g% L* ^* n! a 本帖隐藏的内容需要回复才可以浏览
