文件名称：gdiplus.exe

文件大小：57899 字节

病毒命名：

BitDefender - - Gen:Trojan.Heur.3065153434

DrWeb - - BACKDOOR.Trojan

McAfee+Artemis - - Generic!Artemis

加壳方式：ASPack

编写语言：VB

文件MD5：8a9e141947d940a08b44c58537323ec4

病毒类型：流氓程序

1、释放文件：

C:\WINDOWS\system32\gdiplus.exe 57899 字节

2、查找注册表SOFTWARE\Tencent\QQ，获得当前QQ的完整路径，保存为：

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerTrust\下

3、在QQ目录下生成隐藏文件：

Program Files\Tencent\QQ\Wsock32.dll 53248 字节

Program Files\Tencent\QQ\syswsock32.dll 28,672 字节（系统文件）

实现无启动项启动

4、当运行QQ时，位于Tencent\QQ\Wsock32.dll由于目录优先性，代替系统文件被加载。

随后启动病毒C:\WINDOWS\system32\gdiplus.exe

最后再注入syswsock32.dll

5、病毒运行后在任务管理器可见，访问网络221.1.74.165

更新钓鱼面板信息：

0~1,0,0,1,0~5,0,6~0,0,0~恭喜!您的QQ号码已成功被RGB(255,0,0)后台系统随机抽选为当日在RGB(255,0,0)线“二等奖”用户,请您及时RGB(255,0,0)领取您的奖项.验证码[1686]RGB(255,0,0)^http://tenglong101.cn/tupian/qq2.bmp^http://www.qqsvm.cn/~^~~系统广播：RGB(0,0,0)庆祝腾讯QQ 10周岁感谢广大用户的支持!公司将邀请RGB(0,0,0)到赞助商三星(公司)在线举办“十周年庆典挖宝活动”RGB(0,0,0)恭喜!您已被抽选成为《二等奖》幸运用户验证码:1686RGB(0,0,255) 此次活动最终解释权归深圳腾讯公司所有RGB(0,0,0)^http://www.qqsvm.cn/~~1001~十周年庆典挖宝活动~0

6、开始弹广告....

（拜托..还没登入就开始弹...留点回忆好不好）

点击进入后发现是个钓鱼网，

大概内容是恭喜您获得XX奖（反正听起来是个很牛逼奖项...），，

然后请您汇款XX元到XX处给这个病毒作者凑棺材费.... - -!

最烦人的就是这个gdiplus.exe处于活动状态的时候会不时跳出这个面板

关都关的烦厌

其实清除起来也不难：

1、懒点的就重装下QQ，记得别放在以前安装QQ的那个盘。

重启后解决（PS：旧的QQ快捷方式要先删掉）

2、删除文件：C:\WINDOWS\system32\gdiplus.exe

重启后世界清净....

3、完整删除：

（1）暂时关闭QQ（开几个关几个），打开任务管理器，结束进程gdiplus.exe

（2）打开任意文件夹，选择“工具-文件夹选项”，勾选“显示所有文件和文件夹”，取消“隐藏受系统保护的文件”

（3）现在病毒就无处遁形了，删除文件：

C:\WINDOWS\system32\gdiplus.exe

QQ目录下的：

Program Files\Tencent\QQ\Wsock32.dll

Program Files\Tencent\QQ\syswsock32.dll

重启计算机，问题解决...

PS:如上述方法无法清除，麻烦把gdiplus.exe用Winrar压缩发送到

Lyhan_1988@163.com或526170722@qq.com