当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Trojan-PSW.Win32.QQPass.pf病毒(SysWFGQQ2.dll)的分析解决 | |||
2007-6-3 9:36:59 文/余弦函数 出处:网友博客 | |||
SysWFGQQ2.dll是盗QQ木马Trojan-PSW.Win32.QQPass.pf(QQ通行证变种)释放的DLL文件,这次它是随着Autorun病毒kocmbcd.exe而来的,并与OnlineGames盗网游帐号木马同流合污! Trojan-PSW.Win32.QQPass.pf分析与清除方案 病毒名称:Trojan-PSW.Win32.QQPass.pf 我得到的病毒文件为11.exe(即Trojan-PSW.Win32.QQPass.pf),11.exe运行后仅释放一个DLL文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll。不过这个DLL文件强大的很!病毒进程11.exe通过安装全局系统钩子注入DLL文件SysWFGQQ2.dll至所有运行中的程序(如下图,注入到explorer.exe中的SysWFGQQ2.dll),通过WH_GETMESSAGE挂钩类型监视着键盘的输入。 创建以下注册表键值: 1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F} 接着你会发现你的QQ自动退出,你也许会选择再次登录QQ,然而这样你的QQ就面临着被盗的危险了!看下面这张图,当我重启QQ后,SSM拦截了SysWFGQQ2.dll的注入: 最后病毒11.exe生成一个批处理_xr.bat删除自身,批处理自毁!仅留一个SysWFGQQ2.dll文件来完成盗QQ号的目的!手动杀此毒也很简单,可以用冰刃IceSword(可到down.45its.com下载)将病毒文件SysWFGQQ2.dll强制删除,然后将下面的注册表键值删了即可: 1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F} 文中提到的软件均可到down.45its.com下载 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |