Virus.Win32.AutoRun.en 
2007-07-12 12:13:10
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/33736 |
一个盗Q的```以前在反毒区的网友日志里比较常见``
有幸抓到了只`````解剖! =。=
Aditional information
File size: 32873 bytes CRC32 : 5FD03479 MD5: 4fda59631385d13c98e470d69ce69196 SHA1: 946d07eba7935b02a5902657a401eccdaee88695 SHA160 : 946D07EBA7935B02A5902657A401ECCDAEE88695 packers: UPX 0.89.6 - 1.02 / 1.05 - 1.24 Languages:Borland Delphi 6.0 - 7.0 运行,释放:
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp 32873 字节 C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys 46697 字节 C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao 46697 字节 写注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
实现开机自启
SysWin64.Sys枚举进程,尝试插入QQ.exe\Explorer.Exe\VerCLsID.exe``
随后使用Hook技术(WH_CALLWNDPROCRET勾子)监视发送窗口过程消息``(判断、监视进程)
和WH_GETMESSAGE勾子,并拦截GetMessage、PeekMessage等函数返回消息``
模拟鼠标和键盘行为操作获得QQ密码(绕过QQ键盘锁)
并尝试修改HKEY_CURRENT_USER\Software\Tencent\Gm\和其他等键
不过测试时都未实现 :D
最后在E:下(其他盘未发现)生成Autorun.inf和AutoRun.exe
…………
解决方法:
下载东西直接放桌面,断开网络``
1、打开PowerRmv,选上“抑制对象再次生成”,填入下面路径后点杀灭:
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao E:\autorun.inf
E:\autorun.exe
2、打开SREng,删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys> [N/A] 3、重启电脑,修改QQ密码```
   本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/33736 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接
