木马 NewTemp.dll NewTemp.bak PegeFile.pif 解决方案
病毒名称:Trojan-PSW.Win32.Nilage.blg [exe](Kaspersky), Trojan-PSW.Win32.Delf.wh [dll](Kaspersky)
病毒别名:PWS-QQPass [exe](McAfee), PWS-QQPass.dll [dll](McAfee)
Worm.Win32.Agent.ime(瑞星)
Win32.Troj.AutoPage.a.81920 [exe](毒霸), Win32.Troj.QQpass.q.17444 [dll](毒霸)
病毒大小:15,671 字节
加壳方式:PE_Patch NSPack
样本MD5:4e6b49a4bdb1caecc0fa2b69ec81f998
样本SHA1:c4881275f29fd403009855afdad05a6163010a2c
发现时间:2007.7
更新时间:2007.7.25
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
木马运行后将自身复制到:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak
释放dll注入进程:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll
当有变种存在时创建:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bkk
创建ShellExecuteHooks启动信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""
[HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
在各分区根目录创建自身副本PegeFile.pif,并创建autorun.inf:
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
尝试访问网络下载其它病毒、木马或恶意程序保存到%temp%目录下并运行。
清除步骤
==========
1. 删除病毒创建的ShellExecuteHooks项(到www.pc51.net下载IceSword120_cn.zip依次删除):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""
[HKEY_CLASSES_ROOT\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}]
2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到www.pc51.net下载费尔木马强制删除器工具进行强制删除):
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bkk(可能存在)
4. 通过资源管理器文件夹树形目录进入分区根目录,删除文件:
X:\PegeFile.pif
X:\autorun.inf
PS:
另一变种,技术分析和清除步骤同上。
病毒名称:Trojan-PSW.Win32.Delf.wh(Kaspersky)
病毒别名:PWS-QQPass.dll(McAfee)
Worm.Win32.Agent.imh [exe](瑞星), Worm.Win32.Agent.img [dll](瑞星)
Win32.PSWTroj.Delf.wh.22065 [exe](毒霸), Win32.PSWTroj.OnLineGames.53290 [dll](毒霸)
病毒大小:16,942 字节
加壳方式:PE_Patch.UPX UPX
样本MD5:3b6dd64706f7986842dcedce68afe1d5
样本SHA1:6c525669a5ef6c598dd061cade19a406aa2decac
发现时间:2007.7
更新时间:2007.7.27
传播方式:通过恶意网页传播、其它木马下载
文章评论
共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面