<![CDATA[C.I.S.R.T.@BAIDU CISRT在百度]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/cisrt zh-cn www.baidu.com 5 <![CDATA[【CISRT2007100】木马 msvcrt.dll Relive.dll msvcrt.bak 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1531

档案编号:CISRT2007100
病毒名称:Virus.Win32.AutoRun.bk(Kaspersky)
病毒别名:Trojan.PSW.Win32.Agent.qs(瑞星)
病毒大小:23,087 字节
加壳方式:PE_Patch.UPX UPX
样本MD5:3d4d01638f3e206c7bbbde769a3f2182
样本SHA1:8d6d71216a588155554226efe84eed2c8011c38a
发现时间:2007.7.10
更新时间:2007.7.17
关联病毒
传播方式:通过恶意网页传播,其它木马或病毒下载


技术分析
==========

变种:
【CISRT2007075】木马 romdrivers.dll romdrivers.bak 解决方案
【CISRT2007090】木马 msvcrt.dll Relive.dll msvcrt.bak   解决方案

木马运行后复制自身到:
%ProgramFiles%\Internet Explorer\msvcrt.bak
释放dll注入Explorer.exe进程:
%ProgramFiles%\Internet Explorer\msvcrt.dll
同时还创建msvcrt.dll的副本,作为BHO启动:
%ProgramFiles%\Common Files\Relive.dll

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1531

清除步骤
==========

1. 删除木马创建的注册表信息:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}"

[HKEY_CLASSES_ROOT\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}]

[HKEY_CLASSES_ROOT\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}]

2. 重新启动计算机

3. 删除木马相关文件:
%ProgramFiles%\Internet Explorer\msvcrt.bak
%ProgramFiles%\Internet Explorer\msvcrt.dll
%ProgramFiles%\Common Files\Relive.dll

4. 删除反病毒软件安装目录下的ws2_32.dll目录,可以使用rd /s命令,比如:

[Copy to clipboard] [ - ]
CODE:
rd /s C:\KAV2007\ws2_32.dll
rd /s "C:\Program Files\Rising\Rav\ws2_32.dll"

5. 创建%System%\drivers\etc\hosts文件:
内容为一行即可:

[Copy to clipboard] [ - ]
CODE:
127.0.0.1         localhost

发布时间:2007-07-17 10:41
更新时间:2007-07-17 18:10

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1531

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:54 http://hi.baidu.com/cisrt/blog/item/c69c3b73cf80851f8701b0ad.html <![CDATA[【CISRT2007099】木马 Agent.dll gfdwq.bbr adapi32.dll 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1527

档案编号:CISRT2007099
病毒名称:Trojan-PSW.Win32.OnLineGames.tn(Kaspersky)
病毒别名:Trojan.PSW.Win32.OnlineGames.dfz(瑞星)
      Win32.PSWTroj.OnLineGames.tn.86016 [exe](毒霸), Win32.Troj.OnlineGames.ny.126976 [dll](毒霸)
病毒大小:27,967 字节
加壳方式:UPack
样本MD5:d37bea844c36c786fa6136ffd283cf8a
样本SHA1:6939b106bb146fb7194c01e9c14ec036672a8565
发现时间:2007.7
更新时间:2007.7.10
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

木马运行后释放dll到系统目录:
%System%\Agent.dll
创建副本:
%System%\gfdwq.bbr
%System%\adapi32.dll
%System%\aetpksw.dll
%System%\hytsx.dll
%System%\wiytd.dll
%System%\wkjhl.dll
%System%\wljhj.dll
%System%\wlkhm.dll
%System%\zeqax.dll
并将这些dll注入进程。

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1527

清除步骤
==========

1. 重命名木马文件:
%System%\Agent.dll

2. 重新启动计算机

3. 删除重命名过的木马文件:
%System%\Agent.dll

4. 删除其它木马副本:
%System%\gfdwq.bbr
%System%\adapi32.dll
%System%\aetpksw.dll
%System%\hytsx.dll
%System%\wiytd.dll
%System%\wkjhl.dll
%System%\wljhj.dll
%System%\wlkhm.dll
%System%\zeqax.dll

5. 删除ShellExecuteHooks启动项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}"

[HKEY_CLASSES_ROOT\CLSID\{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}]

6. 删除木马创建的注册表信息:

[Copy to clipboard] [ - ]
CODE:
[HKEY_CURRENT_USER\Windows]

发布时间:2007-07-16 17:35

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1527

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:53 http://hi.baidu.com/cisrt/blog/item/426a88163fa99952f3de32ac.html <![CDATA[【CISRT2007098】木马 dhapri.dll 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1526

档案编号:CISRT2007098
病毒名称:Trojan-Downloader.Win32.Small.exh(Kaspersky)
病毒别名:Trojan.PSW.Win32.Zhengtu.jzr [exe](瑞星), Trojan.PSW.Win32.XYOnline.be [dll](瑞星)
      Win32.TrojDownloader.Small.86016 [exe](毒霸), Win32.Troj.DownloaderT.ew.14897 [dll](毒霸)
病毒大小:10,540 字节
加壳方式:UPack
样本MD5:3979a7b883ac774a09afabb3f0236eb3
样本SHA1:418b69bdaba42fbd8a492f286031a8f71ccc55c7
发现时间:2007.7
更新时间:2007.7.12
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

变种:
【CISRT2007096】木马 qhbpri.dll 解决方案
【CISRT2007097】木马 wdapri.dll 解决方案

木马运行后释放dll到系统目录:
%System%\dhapri.dll

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1526

清除步骤
==========

1. 重命名木马文件:
%System%\dhapri.dll

2. 重新启动计算机

3. 删除重命名过的木马文件:
%System%\dhapri.dll

4. 删除ShellExecuteHooks启动项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{12311A42-AC1B-158F-FD32-5674345F23A1}"="dhapri.dll"

[HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}]


5. 编辑AppInit_DLLs值数据为空,删除“dhapri.dll”:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


6. 删除木马修改的注册表信息:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001
"AUOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000


(或根据自己需要进行设置)


发布时间:2007-07-16 17:17
更新时间:2007-07-19 17:28

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1526

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:52 http://hi.baidu.com/cisrt/blog/item/b563a61b8d02ce1a8618bfac.html <![CDATA[【CISRT2007097】木马 wdapri.dll 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1525

档案编号:CISRT2007097
病毒名称:Trojan-Downloader.Win32.Small.ewc(Kaspersky)
病毒别名:Trojan.PSW.Win32.AskTao.y(瑞星)
      Win32.Troj.Downloader.ew.65536 [exe](毒霸), Win32.Troj.Small.dw.14852 [dll](毒霸)
病毒大小:9,798 字节
加壳方式:UPack
样本MD5:daea52c1ba806fe8dffa6718aed64ea4
样本SHA1:67d61ae2d8d46f9ffa9e73f007038af84245b511
发现时间:2007.7
更新时间:2007.7.12
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

【CISRT2007096】木马 qhbpri.dll 解决方案的变种,运行后释放dll到系统目录:
%System%\wdapri.dll

创建ShellExecuteHooks启动项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{1F12545B-1212-1314-5679-4512ACEF8901}"="wdapri.dll"

[HKEY_CLASSES_ROOT\CLSID\{1F12545B-1212-1314-5679-4512ACEF8901}\InprocServer32]
@="%System%\wdapri.dll"

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1525

清除步骤
==========

1. 重命名木马文件:
%System%\wdapri.dll

2. 重新启动计算机

3. 删除重命名过的木马文件:
%System%\wdapri.dll

4. 删除ShellExecuteHooks启动项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{1F12545B-1212-1314-5679-4512ACEF8901}"="wdapri.dll"

[HKEY_CLASSES_ROOT\CLSID\{1F12545B-1212-1314-5679-4512ACEF8901}]


5. 编辑AppInit_DLLs值数据为空,删除“wdapri.dll”:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


6. 删除木马修改的注册表信息:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001
"AUOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000


(或根据自己需要进行设置)


发布时间:2007-07-16 16:51
更新时间:2007-07-19 17:28

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1525

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:51 http://hi.baidu.com/cisrt/blog/item/6b6085efc89491ecce1b3ea3.html <![CDATA[【CISRT2007096】木马 qhbpri.dll 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1524

档案编号:CISRT2007096
病毒名称:Trojan-Spy.Win32.Delf.uv(Kaspersky)
病毒别名:Trojan.PSW.Win32.AskTao.y [exe](瑞星), Trojan.PSW.Win32.QQHX.f [dll](瑞星)
      Win32.Troj.Delf.uv.86016 [exe](毒霸), Win32.Troj.Delf.uv.14889 [dll](毒霸)
病毒大小:10,065 字节
加壳方式:UPack
样本MD5:ddc6cd2c893a0d67ab8c4bde5f53a399
样本SHA1:0219645ee9338ae6f8bd5e01feca454da540f1dd
发现时间:2007.7
更新时间:2007.7.11
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

木马运行后释放dll到系统目录:
%System%\qhbpri.dll

创建ShellExecuteHooks启动项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{26368135-64FA-BC34-DA32-DCF4FD431C92}"="qhbpri.dll"

[HKEY_CLASSES_ROOT\CLSID\{26368135-64FA-BC34-DA32-DCF4FD431C92}\InprocServer32]
@="%System%\qhbpri.dll"

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1524

清除步骤
==========

1. 重命名木马文件:
%System%\qhbpri.dll

2. 重新启动计算机

3. 删除重命名过的木马文件:
%System%\qhbpri.dll

4. 删除ShellExecuteHooks启动项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{26368135-64FA-BC34-DA32-DCF4FD431C92}"="qhbpri.dll"

[HKEY_CLASSES_ROOT\CLSID\{26368135-64FA-BC34-DA32-DCF4FD431C92}]


5. 编辑AppInit_DLLs值数据为空,删除“qhbpri.dll”:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


6. 删除木马修改的注册表信息:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001
"AUOptions"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000


(或根据自己需要进行设置)


发布时间:2007-07-16 16:44
更新时间:2007-07-19 17:28

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1524

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:50 http://hi.baidu.com/cisrt/blog/item/211fc8c45a88b7c839db49a2.html <![CDATA[【CISRT2007095】木马 WMIApiSrv.dll 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1523

档案编号:CISRT2007095
病毒名称:Trojan-Proxy.Win32.Small.du(Kaspersky)
病毒别名:Trojan.PSW.Win32.OnlineGames.dfy [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dhb [dll](瑞星)
      Win32.Troj.Small.du.23552 [exe](毒霸), Win32.Troj.AgentT.hl.66048 [dll](毒霸)
病毒大小:26,112 字节
加壳方式
样本MD5:e5015a86c2771d46e34e951f4095d85e
样本SHA1:bb391492ad21ab9ddb1e5eeb2a992c1b7e672a0d
发现时间:2007.7
更新时间:2007.7.11
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

变种:
【CISRT2006089】木马 windhcp.ocx 解决方案
【CISRT2006069】setvp.exe windhcp.dll 解决方案
【CISRT2007008】木马 xpdhcp.dll 解决方案
【CISRT2007053】木马 windhcp.ocx 解决方案
【CISRT2007054】木马 msdebug.dll 解决方案
【CISRT2007055】木马 RemoteDbg.dll 解决方案
【CISRT2007056】木马 windds32.dll 解决方案
【CISRT2007094】木马 netsrvcs.dll 解决方案

木马运行后释放dll到系统目录:
%System%\WMIApiSrv.dll

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1523

清除步骤
==========

1. 删除服务:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMIApiSrv]


2. 重新启动计算机

3. 删除文件:
%System%\WMIApiSrv.dll


发布时间:2007-07-16 16:04

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1523

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:49 http://hi.baidu.com/cisrt/blog/item/99bf23d3586880033af3cfa2.html <![CDATA[【CISRT2007094】木马 netsrvcs.dll 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1522

档案编号:CISRT2007094
病毒名称:Trojan-Proxy.Win32.Small.du [exe](Kaspersky)
病毒别名:Trojan.PSW.Win32.OnlineGames.dfy [exe](瑞星)
      Win32.Troj.Small.du.23552 [exe](毒霸), Win32.Troj.Agent.22528 [dll](毒霸)
病毒大小:26,112 字节
加壳方式
样本MD5:0a9ce30dc9f61d4b6536fd21be047d77
样本SHA1:0da9afd0e99b7d99c1e809b1c92dae09e63319e0
发现时间:2007.7
更新时间:2007.7.12
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

变种:
【CISRT2006089】木马 windhcp.ocx 解决方案
【CISRT2006069】setvp.exe windhcp.dll 解决方案
【CISRT2007008】木马 xpdhcp.dll 解决方案
【CISRT2007053】木马 windhcp.ocx 解决方案
【CISRT2007054】木马 msdebug.dll 解决方案
【CISRT2007055】木马 RemoteDbg.dll 解决方案
【CISRT2007056】木马 windds32.dll 解决方案

木马运行后释放dll到系统目录:
%System%\netsrvcs.dll

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1522

清除步骤
==========

1. 删除服务:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSRVC]


2. 重新启动计算机

3. 删除文件:
%System%\netsrvcs.dll


发布时间:2007-07-16 15:54

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1522

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:48 http://hi.baidu.com/cisrt/blog/item/0e734faf805e7df8fbed50a1.html <![CDATA[【CISRT2007093】木马 AVPSrv.exe AVPSrv.dll 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1521

档案编号:CISRT2007093
病毒名称:Trojan-PSW.Win32.OnLineGames.abl(Kaspersky)
病毒别名:Trojan.PSW.Win32.OnlineGames.dhv [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dhu [dll](瑞星)
      Win32.PSWTroj.OnLineGames.YA.49152 [exe](毒霸), Win32.PSWTroj.OnLineGames.19968 [dll](毒霸)
病毒大小:15,872 字节
加壳方式:PE_Patch.UPX UPX
样本MD5:5c6fa1762a3168380c5b4b1078110e16
样本SHA1:080fb644e48457124d8576ede2badfb65c611db4
发现时间:2007.7
更新时间:2007.7.12
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

木马运行后将自身复制到:
%Windows%\AVPSrv.exe
释放dll注入进程:
%System%\AVPSrv.dll

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1521

清除步骤
==========

1. 删除启动项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVPSrv"="%Windows%\AVPSrv.exe"


2. 重新启动计算机

3. 删除文件:
%Windows%\AVPSrv.exe
%System%\AVPSrv.dll


发布时间:2007-07-16 15:34

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1521

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:47 http://hi.baidu.com/cisrt/blog/item/21454c8210e7e6a10cf4d2a1.html <![CDATA[【CISRT2007092】盗Q木马 SysWin64.Sys SysWin64.Jmp 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1520

档案编号:CISRT2007092
病毒名称:Backdoor.Win32.WinterLove.z(Kaspersky)
病毒别名:Trojan.PSW.Win32.QQPass.qmd(瑞星)
病毒大小:33,389 字节
加壳方式:UPX
样本MD5:2f62e3984b452173edbdecdbc7437d77
样本SHA1:e7e8e9146813c762ffa296b93ad9487ec1efd350
发现时间:2007.7
更新时间:2007.7.12
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

变种:
【CISRT2006032】盗Q木马 system.jmp system.sys 解决方案
【CISRT2006056】盗Q木马 system.jmp system16.sys 解决方案
【CISRT2006073】盗Q木马 system.jmp system18.sys 解决方案
【CISRT2007020】盗Q木马 system.jmp SystemKb.sys 解决方案
【CISRT2007050】盗Q木马 NewInfo.dll system.2dt 解决方案
【CISRT2007082】木马 NewInfo.bmt system.2dt 解决方案
【CISRT2007091】木马 System16.ins System16.jup 解决方案

盗Q木马,运行后将自身复制到:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
释放dll注入进程:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Sys

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1520

清除步骤
==========

1. 删除木马创建的ShellExecuteHooks项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_CLASSES_ROOT\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{40117B96-998D-4D80-8F89-5E9DBD9F3460}"


2. 重新启动计算机

3. 删除文件:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Sys

4. 删除注册表内容:

[Copy to clipboard] [ - ]
CODE:
[HKEY_CURRENT_USER\Software\Tencent\Gm]


发布时间:2007-07-16 15:29

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1520

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:46 http://hi.baidu.com/cisrt/blog/item/07a5a61cc151978887d6b6a1.html <![CDATA[【CISRT2007091】木马 System16.ins System16.jup 解决方案]]> 原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1498

档案编号:CISRT2007091
病毒名称:Trojan-Spy.Win32.Delf.vw [exe](Kaspersky)
病毒别名:Trojan.PSW.Win32.Agent.qa [exe](瑞星)
病毒大小:23,285 字节
加壳方式:UPX
样本MD5:eb7423cd13b67cf1a9ea24dd2bee541f
样本SHA1:a086686d52a147dc63d97eb54911b74eb6e947d0
发现时间:2007.7
更新时间:2007.7.12
关联病毒
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

变种:
【CISRT2006032】盗Q木马 system.jmp system.sys 解决方案
【CISRT2006056】盗Q木马 system.jmp system16.sys 解决方案
【CISRT2006073】盗Q木马 system.jmp system18.sys 解决方案
【CISRT2007020】盗Q木马 system.jmp SystemKb.sys 解决方案
【CISRT2007050】盗Q木马 NewInfo.dll system.2dt 解决方案
【CISRT2007082】木马 NewInfo.bmt system.2dt 解决方案

木马运行后将自身复制到:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup
释放dll注入进程:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins

完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=1498

清除步骤
==========

1. 删除木马创建的ShellExecuteHooks项:

[Copy to clipboard] [ - ]
CODE:
[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{014A26F5-FBAD-4549-9CA1-C38210704BD1}"

2. 重新启动计算机

3. 删除文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup

4. 删除注册表内容:

[Copy to clipboard] [ - ]
CODE:
[HKEY_CURRENT_USER\Software\Tencent\Ie]

发布时间:2007-07-13 11:30
更新时间:2007-07-13 21:53

原文链接:http://www.cisrt.org/bbs/viewthread.php?tid=1498

阅读全文
类别:流行病毒解决方案 查看评论]]> 2007-09-27 14:45 http://hi.baidu.com/cisrt/blog/item/1c9e63c618a0f8189d163da0.html