查看文章 |
这个变种不是新变种,昨天分析的才是新变种。OSO.exe(Trojan-PSW.Win32.QQPass.uj)通过移动盘传播,盗取用户QQ帐号,由于与以前的一些变种的行为基本一样,我就不写详细的分析报告了。 一、病毒文件: 二、中毒症状: 除了C盘其它盘符根目录下都有隐藏的病毒文件OSO.exe与autorun.inf,移动盘不仅有隐藏的病毒文件OSO.exe与autorun.inf,还有“重要资料.exe”与“美女游戏”这两个具有欺骗性的病毒文件,它们与OSO.exe是同一病毒,并且病毒文件会伪装成记事本程序。病毒进程conime.exe、dyqhxf.exe与severe.exe互相保护着,且隔断时间dyqhxf.exe会自动打开某个网站(http://www.onefordvd.com)。许多安全软件包括注册表与msconfig使用不了(被IFEO劫持了)。HOSTS文件屏蔽许多安全网站,卡巴升级不了!系统日期被改为2004年1月22日!系统还原、江民、瑞星等服务被关闭。此毒的目标是QQ,所以中此毒后千万不要再次登录QQ! 三、专杀工具: 针对这些症状,我用VBS写了专杀工具:OSO.exe木马变种Trojan-PSW.Win32.QQPass.uj专杀工具。解压缩工具包运行OSO专杀.vbs即可,杀完毒后自己将系统日期改为正常值。专杀到我网盘上下载http://ycosxhack.ys168.com/,病毒专杀目录,文件名为OSO变种专杀.rar。 杀完此毒后,专杀会在每个盘符的根目录下创建隐藏的autorun.inf文件夹,此文件夹内有一个带点的“免疫文件夹.”,这样起到autorun型病毒的免疫作用,如果你要删了它,将下面代码保存为D.BAT,双击运行即可。建议保留! @echo off |
