QQ尾巴 InfoMs.Ime 解决方案

档案编号:CISRT2007002
病毒名称:Trojan.Win32.Delf.rf(Kaspersky)
病毒别名:Trojan.QQMSG.Liumazi(瑞星)
      Win32.Troj.QQMsgInfo.28688(毒霸)
病毒大小:27,900 字节
加壳方式:UPX
样本MD5:b95d1102bcddfa26fb9a3f40129d2353
样本SHA1:0e52cbcc5fedf47408bad58aa1f0aaf9e00eeae2
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:QQ消息、恶意网页、其它病毒下载

技术分析
==========

这是一个QQ尾巴木马,运行后释放dll库文件:

Code:

%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime

创建ShellExecuteHooks启动信息:

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime"

向QQ好友发送信息:

Quote:
看了这个网站再说
http://8788.www-qq.cn

清除步骤

1. 删除木马的ShellExecuteHooks启动信息:

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}]

2. 重新启动计算机

3. 删除木马文件:

Code:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime

(0)

相关推荐

  • QQ尾巴 InfoMs.Ime 解决方案

    档案编号:CISRT2007002 病毒名称:Trojan.Win32.Delf.rf(Kaspersky) 病毒别名:Trojan.QQMSG.Liumazi(瑞星)  Win32.Troj.QQMsgInfo.28688(毒霸) 病毒大小:27,900 字节 加壳方式:UPX 样本MD5:b95d1102bcddfa26fb9a3f40129d2353 样本SHA1:0e52cbcc5fedf47408bad58aa1f0aaf9e00eeae2 发现时间:2007.1 更新时间:2007.

  • QQ尾巴病毒核心技术的实现

    2003这一年里,QQ尾巴病毒可以算是风光了一阵子.它利用IE的邮件头漏洞在QQ上疯狂传播.中毒者在给别人发信息时,病毒会自动在信息文本的后边添上一句话,话的内容多种多样,总之就是希望信息的接收者点击这句话中的URL,成为下一个中毒者. 下面我将要讨论的,就是QQ尾巴病毒使用的这一技术.由于病毒的源代码无法获得,所以以下的代码全是我主观臆断所得,所幸的是效果基本与病毒本身一致. 粘贴尾巴 首先的一个最简单的问题是如何添加文本.这一技术毫无秘密可言,就是通过剪贴板向QQ消息的那个RichEdit"

  • 紧急大追捕!网络骗子通缉令

    紧急大追捕!网络骗子通缉令

    楔子 世界上有一种人最可恨,那就是骗子. 让我们擦亮双眼,让骗子原形毕露! 通缉犯一:QQ密码抢劫犯 "你好啊,清煮肥羊.今天我在网上下了本电子书,书名叫<缘>,写得不错,而且书的作者名很巧,跟你的QQ网名一样,也叫清煮肥羊.不会就是你写的吧?挺有才的嘛,下载看看吧!点击下面的这个地址可以下载这本书:http://www.XXX.cn.gg/." 我好奇地进入那个网站,想看看所谓的电子书究竟是怎么回事,原来是一个木马-- "恭喜您!我们是腾讯公司,您是第88888

  • 关于rundl132.exe vidll.dll LOGO1.exe 的清除方法

    最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧. 1.打开系统的"显示隐藏文件"并下载相应的杀毒软件和 维金EXE修复工具 (重要) 2.查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马.可以用tskill 来结束这些进程. 3.找到木马所在的路径并删除,然后新建一个同名文件,并

  • 看PDF、Flash中毒解决方法

    我们电脑以及网上的文件中,哪些类型文件是安全的?除了很早就被病毒盯上了的可执行文件.邮件.即时通讯工具之外,一些平时经常使用的文件类型如PDF.Flash等也难逃病毒的魔掌.大家平时可得加以注意,并希望本文能够对大家有所帮助.  现象一:看Flash也要防中毒  Flash是网络上一种非常通用的动画格式,大家经常通过Flash来欣赏一些搞笑经典故事.2002年世界上首个针对Flash文件的病毒WF/LFM.926虽然被Macromedia公司紧急发布的补丁工具所拒绝,但2004年11月26日网上

  • QQ互联一键登录审核不通过的解决方案

    QQ互联一键登录审核不通过的解决方案

    在QQ互联上申请帐号之后提交了审核, 后台填写APPID和KEY之后自己申请的QQ号可以正常登录,但QQ互联审核的时候一直审核不通过说是"您的网站审核未通过,原因是"点击QQ登录按钮提示登录失败或出现错误信息(无跳转.提示失败.出现错误信息)",请确认申请符合审核标准后,再提交审核",或者是""禁止开发商强制用户重新注册或绑定其他帐号"". 错误提示图: Destoon爱好者对此问题的解决方案是:修改模板目录下的chip/li

  • 易语言制作QQ聊天添加自定义小尾巴工具

    易语言制作QQ聊天添加自定义小尾巴工具

    DLL命令表 .版本 2 .DLL命令 SetWindowsHookEx, 整数型, , "SetWindowsHookExA", , 建立钩子 .参数 idHook, 整数型 .参数 lpfn, 子程序指针 .参数 hmod, 整数型 .参数 dwThreadId, 整数型 .DLL命令 CopyMemory, , , "RtlMoveMemory" .参数 Destination, 按键信息, 传址 .参数 Source, 整数型 .参数 Length, 整数型

  • Windows 2003 SP2上QQ死机的多种解决方案

    MS最近低调发布了Windows 2003 Server 的sp2补丁,但是安装完成后,一个很严重的问题就出现了,一旦运行QQ就会出现死机,或者几分钟后就死机,看来这个SP2在安全性方面增加了不少东西啊. 网上找了一下,SP2可能会安装一半时出现错误,这个问题的原因应该是一个ADAM 的SP1没有安装,只要从网上下一个安装一下就可以了,所以,在安装时,尽量先安装这个ADAM SP1. 关于这个QQ死机的问题,原因是QQ的安全键盘组件引起. 解决方法一手动删掉QQ的键盘安全组件,关闭QQ,删除QQ

  • Spring Boot Mail QQ企业邮箱无法连接解决方案

    这里记录一下QQ企业邮箱发邮件问题,因为之前遇到过一种情况是本地测试没问题,结果线上出现问题 Couldn't connect to host, port: smtp.qq.com, 25; timeout -1 要使用企业邮箱生成的授权密码. 这里只要是因为QQ邮箱默认端口是465,需要修改为SSL配置 java代码 package com.chenpeng.cpeducloud.service.impl; import lombok.extern.slf4j.Slf4j; import or

  • 多个IEXPLORE.EXE进程,专杀的完美解决方案

    这几天电脑中了病毒,c盘格式化重装了也不管用,把我郁闷的.一开机就出现IEXPLORE.EXE的进程,强行终止后一会又出现了,卡巴斯基杀了一遍没查出来,到网上转了好几圈,发现了这样的解决方案. 现象: 1.系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,注意,是小写字母: 2.搜索该程序iexplore.exe,位于C:\WINDOWS\system32下面. 解决方案: 十有八九,你是中了 Trojan.PowerSpider.ac 木马病毒,它偷取用户各种密码,包含:游

随机推荐