警惕QQ木马Trojan-PSW.Win32.QQPass.cdw
|
|
警惕QQ木马Trojan-PSW.Win32.QQPass.cdw Trojan-PSW.Win32.QQPass.cdw病毒为盗窃QQ账号的木马,病毒运行后,复制自身到%Program Files%Internet ExplorerPLUGINS目录下,并重命名为UnixSys32.Jmp,并在该目录下衍生含有隐藏属性的病毒文件UnixSys08.Sys;新建注册表项,创建CLSID值,添加HOOK项,以达到当系统启动的时候利用Explorer.exe进程加载UnixSys08.Sys;浏览器劫持,添加注册表BHO项,用来当IE运行时加载UnixSys08.Sys;并试图通过全局挂钩把UnixSys08.Sys注入到所有进程中,通过截获当前用户的键盘和鼠标消息以获取QQ的账号及密码,发送到病毒作者指定的URL;该病毒在实现完自身代码后,会结束自身进程。
清除方案:
1.
使用安天防线2008可彻底清除此病毒(推荐)。
2.
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)
使用ATOOL卸载注入到相关进程的UnixSys08.Sys
(2)
删除病毒衍生的文件
UnixSys08.Sys 、UnixSys32.Jmp
(3)
删除病毒添加的注册表项
:
1.
[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID]
2.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerBrowser Helper Objects]
3.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersion ExplorerShellExecuteHooks]
4.
[HKEY_CURRENT_USERSoftwareTencent]
相关链接参见:http://www.antiy.com/security/report/20080705.htm
|
