|
病毒行為: 運(yùn)行3.exe后: 1、文件改動: C:\Program Files\Common Files\Microsoft Shared\MSINFO\下生成system.2dt以及NewInfo.bmp 2、注冊表改動: 添加: HKEY_CURRENT_USER\Software\Tencent\IeHook以及下面的鍵值First,值為kk HKCR\CLSID\{A HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A 3、等了大約4分鐘后開始利用被插入模塊的explorer.exe下載下面的幾個(gè)東西了: http://www./0/mh.exe http://www./0/wow.exe http://www./0/wd.exe http://www./0/qq.exe http://www./0/dh.exe http://www./0/zt.exe 4、這堆東西在系統(tǒng)弄了一堆東西: 文件改動: 生成: windows目錄:wincdb.exe、mppds.exe system32目錄:wincdb.dll、nwizAsktao.exe、nwizdh.exe、dh2103.dll、mppds.dll C:\Program Files\Internet Explorer\PLUGINS目錄:system32.jmp C:\Program Files\Internet Explorer\PLUGINS目錄:System64.sys %tmp%目錄:qq.exe 注冊表改動: 添加: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的wincdb、mppds HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD HKCU\Software\Tencent\Hooker HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5FF01121-F04D-30cf-64CD-74FF5FE1CF 清理方法: 用任務(wù)管理器結(jié)束explorer.exe的進(jìn)程樹并關(guān)閉任務(wù)管理器,用icesword v1.20把上面的那些文件強(qiáng)行刪除,然后把那些注冊表項(xiàng)和鍵值都刪除,重啟,OK! 另: 病毒一直在監(jiān)聽遠(yuǎn)程IP:58.218.202.151,也就是www.的IP地址,估計(jì)這個(gè)木馬群有升級的能力! |
|
|
