45IT.COM- 电脑学习从此开始!
RSS订阅 设为首页 加入收藏
DIY硬件教程攒机经验装机配置
设计Photoshop网页设计特效
系统注册表DOS系统命令其它
存储主板显卡外设键鼠内存
维修显卡CPU内存打印机
WinXPVistaWin7unix/linux
CPU光驱电源/散热显示器其它
修技主板硬盘键鼠显示器光驱
办公ExcelWordPowerPointWPS
编程数据库CSS脚本PHP
网络局域网QQ服务器
软件网络系统图像安全

搜索

页面导航: 首页 > 电脑学院 > 网络安全 >

木马 NewTemp.dll NewTemp.bak PegeFile.pif

电脑软硬件应用网 45IT.COM 时间:2007-08-07 09:23 作者:海色の月

  病毒名称:Trojan-PSW.Win32.Nilage.blg [exe](Kaspersky), Trojan-PSW.Win32.Delf.wh [dll](Kaspersky)
  病毒别名:PWS-QQPass [exe](McAfee), PWS-QQPass.dll [dll](McAfee)
      Worm.Win32.Agent.ime(瑞星)
      Win32.Troj.AutoPage.a.81920 [exe](毒霸), Win32.Troj.QQpass.q.17444 [dll](毒霸)
  病毒大小:15,671 字节
  加壳方式:PE_Patch NSPack
  样本MD5:4e6b49a4bdb1caecc0fa2b69ec81f998
  样本SHA1:c4881275f29fd403009855afdad05a6163010a2c
  发现时间:2007.7
  更新时间:2007.7.25
  关联病毒:
  传播方式:通过恶意网页传播、其它木马下载


  技术分析
  ==========

  木马运行后将自身复制到:
  %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak
  释放dll注入进程:
  %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll
  当有变种存在时创建:
  %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bkk

  创建ShellExecuteHooks启动信息:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""

[HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
在各分区根目录创建自身副本PegeFile.pif,并创建autorun.inf:


[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
尝试访问网络下载其它病毒、木马或恶意程序保存到%temp%目录下并运行。


  清除步骤
  ==========

  1. 删除病毒创建的ShellExecuteHooks项(到down.45it.com下载IceSword120_cn.zip依次删除):


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""

[HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}]
  2. 重新启动计算机

  3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
  %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll
  %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak
  %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bkk(可能存在)

  4. 通过资源管理器文件夹树形目录进入分区根目录,删除文件:
  X:\PegeFile.pif
  X:\autorun.inf


  PS:

  另一变种,技术分析和清除步骤同上。

  病毒名称:Trojan-PSW.Win32.Delf.wh(Kaspersky)
  病毒别名:PWS-QQPass.dll(McAfee)
      Worm.Win32.Agent.imh [exe](瑞星), Worm.Win32.Agent.img [dll](瑞星)
      Win32.PSWTroj.Delf.wh.22065 [exe](毒霸), Win32.PSWTroj.OnLineGames.53290 [dll](毒霸)
  病毒大小:16,942 字节
  加壳方式:PE_Patch.UPX UPX
  样本MD5:3b6dd64706f7986842dcedce68afe1d5
  样本SHA1:6c525669a5ef6c598dd061cade19a406aa2decac
  发现时间:2007.7
  更新时间:2007.7.27
  传播方式:通过恶意网页传播、其它木马下载
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
无法在这个位置找到: baidushare.htm
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片
最新评论 进入详细评论页>>
你可能感兴趣的文章
推荐知识
热点知识

关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

Copyright © 2006-2012 45IT. All Rights Reserved 浙ICP备09049068号