原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1520
档案编号:CISRT2007092
病毒名称:Backdoor.Win32.WinterLove.z(Kaspersky)
病毒别名:Trojan.PSW.Win32.QQPass.qmd(瑞星)
病毒大小:33,389 字节
加壳方式:UPX
样本MD5:2f62e3984b452173edbdecdbc7437d77
样本SHA1:e7e8e9146813c762ffa296b93ad9487ec1efd350
发现时间:2007.7
更新时间:2007.7.12
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
变种:
【CISRT2006032】盗Q木马 system.jmp system.sys 解决方案
【CISRT2006056】盗Q木马 system.jmp system16.sys 解决方案
【CISRT2006073】盗Q木马 system.jmp system18.sys 解决方案
【CISRT2007020】盗Q木马 system.jmp SystemKb.sys 解决方案
【CISRT2007050】盗Q木马 NewInfo.dll system.2dt 解决方案
【CISRT2007082】木马 NewInfo.bmt system.2dt 解决方案
【CISRT2007091】木马 System16.ins System16.jup 解决方案
盗Q木马,运行后将自身复制到:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
释放dll注入进程:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Sys
完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1520
清除步骤
==========
1. 删除木马创建的ShellExecuteHooks项:
[HKEY_CLASSES_ROOT\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{40117B96-998D-4D80-8F89-5E9DBD9F3460}"
2. 重新启动计算机
3. 删除文件:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Sys
4. 删除注册表内容:
[HKEY_CURRENT_USER\Software\Tencent\Gm]
发布时间:2007-07-16 15:29
原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1520
