原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1498
档案编号:CISRT2007091
病毒名称:Trojan-Spy.Win32.Delf.vw [exe](Kaspersky)
病毒别名:Trojan.PSW.Win32.Agent.qa [exe](瑞星)
病毒大小:23,285 字节
加壳方式:UPX
样本MD5:eb7423cd13b67cf1a9ea24dd2bee541f
样本SHA1:a086686d52a147dc63d97eb54911b74eb6e947d0
发现时间:2007.7
更新时间:2007.7.12
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
变种:
【CISRT2006032】盗Q木马 system.jmp system.sys 解决方案
【CISRT2006056】盗Q木马 system.jmp system16.sys 解决方案
【CISRT2006073】盗Q木马 system.jmp system18.sys 解决方案
【CISRT2007020】盗Q木马 system.jmp SystemKb.sys 解决方案
【CISRT2007050】盗Q木马 NewInfo.dll system.2dt 解决方案
【CISRT2007082】木马 NewInfo.bmt system.2dt 解决方案
木马运行后将自身复制到:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup
释放dll注入进程:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins
完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1498
清除步骤
==========
1. 删除木马创建的ShellExecuteHooks项:
[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{014A26F5-FBAD-4549-9CA1-C38210704BD1}"
2. 重新启动计算机
3. 删除文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup
4. 删除注册表内容:
[HKEY_CURRENT_USER\Software\Tencent\Ie]
发布时间:2007-07-13 11:30
更新时间:2007-07-13 21:53
原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1498
