一个盗Q的病毒,以前在反毒区的网友日志里比较常见。 有幸抓到了只,解剖! =。= Aditional information 运行,释放:
写注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys 实现开机自启 SysWin64.Sys枚举进程,尝试插入QQ.exe\Explorer.Exe\VerCLsID.exe; 随后使用Hook技术(WH_CALLWNDPROCRET勾子)监视发送窗口过程消息(判断、监视进程),和WH_GETMESSAGE勾子,并拦截GetMessage、PeekMessage等函数返回消息。模拟鼠标和键盘行为操作获得QQ密码(绕过QQ键盘锁),并尝试修改HKEY_CURRENT_USER\Software\Tencent\Gm\和其他等键,不过测试时都未实现 :D。最后在E:下(其他盘未发现)生成Autorun.inf和AutoRun.exe 解决方法: 下载:PowerRmv.com;sreng2.zip(可到down.45it.com下载) 下载东西直接放桌面,断开网络`` 1、打开PowerRmv(可到down.45it.com下载),选上“抑制对象再次生成”,填入下面路径后点杀灭: C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
E:\autorun.inf E:\autorun.exe 2、打开SREng(可到down.45it.com下载),删除: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
3、重启电脑,修改QQ密码。 4.建议下载360安全卫士之类进行其它恶意软件的清理。(也可到down.45it.com下载) |