h24arb 2008-7-7 10:42
转帖:警惕QQ木马Trojan-PSW.Win32.QQPass.cdw
[align=center][align=center][b][font=宋体][size=15pt]警惕[/size][/font][/b][b][size=15pt]QQ[/size][/b][b][font=宋体][size=15pt]木马[/size][/font][/b][b][size=15pt]Trojan-PSW.Win32.QQPass.cdw[/size][/b][/align][/align]Trojan-PSW.Win32.QQPass.cdw[font=宋体]病毒为盗窃[/font]QQ[font=宋体]账号的木马,病毒运行后,复制自身到[/font]%Program Files%\Internet Explorer\PLUGINS[font=宋体]目录下,并重命名为[/font]UnixSys32.Jmp[font=宋体],并在该目录下衍生含有隐藏属性的病毒文件[/font]UnixSys08.Sys[font=宋体];新建注册表项,创建[/font]CLSID[font=宋体]值,添加[/font]HOOK[font=宋体]项,以达到当系统启动的时候利用[/font]Explorer.exe[font=宋体]进程加载[/font]UnixSys08.Sys[font=宋体];浏览器劫持,添加注册表[/font]BHO[font=宋体]项,用来当[/font]IE[font=宋体]运行时加载[/font]UnixSys08.Sys[font=宋体];并试图通过全局挂钩把[/font]UnixSys08.Sys[font=宋体]注入到所有进程中,通过截获当前用户的键盘和鼠标消息以获取[/font]QQ[font=宋体]的账号及密码,发送到病毒作者指定的[/font]URL[font=宋体];该病毒在实现完自身代码后,会结束自身进程。[/font]
[font=宋体]清除方案:[/font]
[b]1.
[/b][b][font=宋体]使用安天防线[/font][/b][b]2008[/b][b][font=宋体]可彻底清除此病毒[/font][/b][b]([/b][b][font=宋体]推荐[/font][/b][b])[/b][b][font=宋体]。[/font][/b][b][size=15pt][/size][/b]
[b]2.
[/b][font=宋体]手工清除请按照行为分析删除对应文件,恢复相关系统设置。[/font][b][size=15pt][/size][/b]
(1)
[font=宋体]使用[/font]ATOOL[font=宋体]卸载注入到相关进程的[/font]UnixSys08.Sys
(2)
[font=宋体]删除病毒衍生的文件[/font]
UnixSys08.Sys [font=宋体]、[/font]UnixSys32.Jmp
(3)
[font=宋体]删除病毒添加的注册表项[/font]
[font=宋体]:[/font]
1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
2.
[HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows
\CurrentVersion\Explorer\Browser Helper Objects]
3.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion \Explorer\ShellExecuteHooks]
4.
[HKEY_CURRENT_USER\Software\Tencent]
[font=宋体]相关链接参见:[/font][url=http://www.antiy.com/security/report/20080705.htm][color=#0000ff]http://www.antiy.com/security/report/20080705.htm[/color][/url]