病毒名称:Trojan-PSW.Win32.Nilage.blg [exe](Kaspersky), Trojan-PSW.Win32.Delf.wh [dll](Kaspersky) 病毒别名:PWS-QQPass [exe](McAfee), PWS-QQPass.dll [dll](McAfee) Worm.Win32.Agent.ime(瑞星) Win32.Troj.AutoPage.a.81920 [exe](毒霸), Win32.Troj.QQpass.q.17444 [dll](毒霸) 病毒大小:15,671 字节 加壳方式:PE_Patch NSPack 样本MD5:4e6b49a4bdb1caecc0fa2b69ec81f998 样本SHA1:c4881275f29fd403009855afdad05a6163010a2c 发现时间:2007.7 更新时间:2007.7.25 关联病毒: 传播方式:通过恶意网页传播、其它木马下载
技术分析 ==========
木马运行后将自身复制到: %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak 释放dll注入进程: %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll 当有变种存在时创建: %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bkk
创建ShellExecuteHooks启动信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""
[HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32] @="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll" 在各分区根目录创建自身副本PegeFile.pif,并创建autorun.inf:
[autorun] open=PegeFile.pif shellexecute=PegeFile.pif shell\Auto\command=PegeFile.pif shell=Auto 尝试访问网络下载其它病毒、木马或恶意程序保存到%temp%目录下并运行。
清除步骤 ==========
1. 删除病毒创建的ShellExecuteHooks项(到down.45it.com下载IceSword120_cn.zip依次删除):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""
[HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}] 2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除): %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak %ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bkk(可能存在)
4. 通过资源管理器文件夹树形目录进入分区根目录,删除文件: X:\PegeFile.pif X:\autorun.inf
PS:
另一变种,技术分析和清除步骤同上。
病毒名称:Trojan-PSW.Win32.Delf.wh(Kaspersky) 病毒别名:PWS-QQPass.dll(McAfee) Worm.Win32.Agent.imh [exe](瑞星), Worm.Win32.Agent.img [dll](瑞星) Win32.PSWTroj.Delf.wh.22065 [exe](毒霸), Win32.PSWTroj.OnLineGames.53290 [dll](毒霸) 病毒大小:16,942 字节 加壳方式:PE_Patch.UPX UPX 样本MD5:3b6dd64706f7986842dcedce68afe1d5 样本SHA1:6c525669a5ef6c598dd061cade19a406aa2decac 发现时间:2007.7 更新时间:2007.7.27 传播方式:通过恶意网页传播、其它木马下载
|