当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
SysWin7z.Jmp SysWin7z.sys木马手动解决方案 | |||
2007-11-1 12:35:53 文/幸福的狮… 出处:CISRT | |||
病毒别名:Worm.Win32.PaBug.cf(瑞星),Win32.Troj.QQPassT.ah.110771(毒霸) 病毒大小:32,948 字节 加壳方式:UPX 样本MD5:772f4dfc995f7c1ad6d1978691190cde 样本SHA1:e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc 关联病毒: 传播方式:通过恶意网页传播、其它木马下载、优盘及移动硬盘传播 技术分析 ========== 木马运行后将自身复制到: %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp %ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys 创建ShellExecuteHooks启动信息: 代码:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 代码:[HKEY_CURRENT_USER\Software\Tencent\Deta3] Autorun.inf和Autorun.exe文件,试图通过优盘传播。 木马病毒运行后会自动从用户QQ中随机挑选好友,组成临时讨论组。它会向组中好友发送内容为“www.fxxxxx.cn/1651.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”的消息。讨论组中的其他用户打开链接中的文件就可能被病毒感染。木马会访问网络下载其它病毒、木马或恶意程序到临时目录并运行。 清除步骤 ========== 1. 删除木马创建的ShellExecuteHooks项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作): 代码: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 3. 删除木马文件: %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp %ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys 如果存在E盘,删除: E:\Autorun.inf E:\Autorun.exe 4. 删除注册表信息(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作): [HKEY_CURRENT_USER\Software\Tencent\Deta3] |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |