解决方案
档案编号:CISRT2007007
病毒名称:Trojan-PSW.Win32.
QQRob.lh(Kaspersky)
病毒别名:Worm.Pabug.ce(瑞星)
病毒大小:51,331 字节
加壳方式:nPack
样本MD5:7577dc36fbc71dd51807c2f2fb5d0b09
样本SHA1:3d6d72488d649ccdb5e22f980f6c70db48b0b297
发现时间:2007.1.8
更新时间:2007.1.8
关联
病毒:
传播方式:恶意网页、其它
木马下载,可以通过可移动磁盘(U盘等)、共享驱动器等途径传播
---------------------------------------------------------------------
技术分析
==========
这个盗Q
木马是【CISRT2006054】盗Q
木马 SVOHOST.exe winscok.dll sxs.exe
解决方案的变种,运行后复制自身到系统目录%System%\eghecq.exe,并释放%System%\eghecq.dll注入进程。
创建副本:
%System%\
QQhx.dat
向系统分区C以外的其它分区根目录复制
病毒副本sxs.exe,伴以autorun.inf自动运行:
X:\sxs.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
生成注册表文件:
%System%\noruns.reg
调用regedit尝试将其导入注册表中
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
创建自启动项目[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lmwhqc"="%System%\eghecq.exe"
修改注册表破坏“显示所有文件和文件夹”选项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
尝试删除
QQ目录下的更新程序:
%
QQ%\BDLiveUpdate.exe
%
QQ%\
QQLiveUpdate.exe
%
QQ%\
QQUpdateCenter.exe
尝试停止并禁用系统还原、Windows
防火墙、江民、卡巴斯基、瑞星等
安全相关服务:
net stop srservice
sc config srservice start= disabled
net stop sharedaccess
net stop kvwsc
sc config kvwsc start= disabled
net stop kvsrvxp
sc config kvsrvxp start= disabled
net stop kavsvc
sc config kavsvc start= disabled
sc config rsravmon start= disabled
net stop rsccenter
sc config rsccenter start= disabled
net stop rsravmon
尝试结束
安全软件相关进程:
sc.exe
cmd.exe
net.exe
QQDoctor.exe
尝试删除
安全软件启动项:
Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
监视“瑞星提示”对话框,尝试发送“是(&Y)”按钮命令。
Mutex:
ExeMutex_
QQRobber2.0
DllMutex_
QQRobber2.0
AntiTrojan3721
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
KingsoftAnti
virusScanProgram7Mutex
清除步骤
==========
1. 删除
病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lmwhqc"="%System%\eghecq.exe"
2. 重新启动计算机
3. 删除
病毒文件:
%System%\eghecq.exe
%System%\eghecq.dll
%System%\
QQhx.dat
4. 右键点击分区盘符,点击菜单中的“打开”进入分区根目录,删除
病毒文件:
X:\sxs.exe
X:\autorun.inf
5. 恢复“显示所有文件和文件夹”选项,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边
病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1
7. 恢复被禁用的系统还原、Windows
防火墙、江民、卡巴斯基、瑞星等服务的启动方式,修复安装或者卸载后重新安装被破坏的
安全软件
8. 建议禁止驱动器自动播放功能:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
海色の月
---------------------------------
amezhs@cisrt.com
amezhs@126.com
amezhs@163.com
amezhs@yahoo.com.cn
---------------------------------
手记:现在的
病毒好象跟
QQ过不去,它们现在很多会篡改
QQ文件!实现隐藏!它们会利用常用软件隐藏和运行自身!这一特点值得注意!
[推荐]又见盗号木马SXS(变种)附解决方案
您现在的位置: