banner.jpg那个木马终于干掉了,呵呵
上一篇 / 下一篇 2007-01-29 11:32:29 / 个人分类:大话网络
【CISRT2007020】盗Q木马 system.jmp SystemKb.sys 解决方案
档案编号:CISRT2007020
病毒名称:N/A(Kaspersky)
病毒别名:
病毒大小:43,490 字节
加壳方式:
样本MD5:25c796d526b18a2e244b93bb6074f23a
样本SHA1:40f0a76db078ee90f12da1ddd43242519624768e
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
盗Q木马,之前变种:
【CISRT2006032】盗Q木马 system.jmp system.sys 解决方案
【CISRT2006056】盗Q木马 system.jmp system16.sys 解决方案
【CISRT2006073】盗Q木马 system.jmp system18.sys 解决方案
木马运行后将自身复制到:
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
同时在这个目录释放dll注入进程:
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys
创建ShellExecuteHooks:
在注册表中添加信息:
尝试从远程下载其它木马病毒或恶意程序。
清除步骤
==========
1.删除病毒创建的ShellExecuteHooks项:
2.重新启动计算机
3.删除文件:
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys
4.删除注册表内容:
档案编号:CISRT2007020
病毒名称:N/A(Kaspersky)
病毒别名:
病毒大小:43,490 字节
加壳方式:
样本MD5:25c796d526b18a2e244b93bb6074f23a
样本SHA1:40f0a76db078ee90f12da1ddd43242519624768e
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
盗Q木马,之前变种:
【CISRT2006032】盗Q木马 system.jmp system.sys 解决方案
【CISRT2006056】盗Q木马 system.jmp system16.sys 解决方案
【CISRT2006073】盗Q木马 system.jmp system18.sys 解决方案
木马运行后将自身复制到:
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
同时在这个目录释放dll注入进程:
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys
创建ShellExecuteHooks:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}"=""
[HKEY_CLASSES_ROOT\CLSID\{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys"
"{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}"=""
[HKEY_CLASSES_ROOT\CLSID\{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys"
在注册表中添加信息:
CODE:
[HKEY_CURRENT_USER\Software\Tencent\Hook]
"First"
"First"
尝试从远程下载其它木马病毒或恶意程序。
清除步骤
==========
1.删除病毒创建的ShellExecuteHooks项:
CODE:
[HKEY_CLASSES_ROOT\CLSID\{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}"
2.重新启动计算机
3.删除文件:
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys
4.删除注册表内容:
CODE:
[HKEY_CURRENT_USER\Software\Tencent\Hook]
源自:
http://www.cisrt.net/bbs/viewthread.php?tid=696&extra=page%3D1
感谢该论坛的海色の月
源自:
http://www.cisrt.net/bbs/viewthread.php?tid=696&extra=page%3D1
感谢该论坛的海色の月
TAG: 大话网络