QQ尾巴 InfoMs.Ime 解决方案
档案编号:CISRT2007002
病毒名称:Trojan.Win32.Delf.rf(Kaspersky)
病毒别名:Trojan.QQMSG.Liumazi(瑞星)
Win32.Troj.QQMsgInfo.28688(毒霸)
病毒大小:27,900 字节
加壳方式:UPX
样本MD5:b95d1102bcddfa26fb9a3f40129d2353
样本SHA1:0e52cbcc5fedf47408bad58aa1f0aaf9e00eeae2
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:QQ消息、恶意网页、其它病毒下载
技术分析
==========
这是一个QQ尾巴木马,运行后释放dll库文件:
Code:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime
创建ShellExecuteHooks启动信息:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""
[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime"
向QQ好友发送信息:
Quote:
看了这个网站再说
http://8788.www-qq.cn
清除步骤
1. 删除木马的ShellExecuteHooks启动信息:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""
[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}]
2. 重新启动计算机
3. 删除木马文件:
Code:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime