病毒行为: 运行3.exe后: 1、文件改动: C:\Program Files\Common Files\Microsoft Shared\MSINFO\下生成system.2dt以及NewInfo.bmp 2、注册表改动: 添加: HKEY_CURRENT_USER\Software\Tencent\IeHook以及下面的键值First,值为kk HKCR\CLSID\{A HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A 3、等了大约4分钟后开始利用被插入模块的explorer.exe下载下面的几个东西了: http://www./0/mh.exe http://www./0/wow.exe http://www./0/wd.exe http://www./0/qq.exe http://www./0/dh.exe http://www./0/zt.exe 4、这堆东西在系统弄了一堆东西: 文件改动: 生成: windows目录:wincdb.exe、mppds.exe system32目录:wincdb.dll、nwizAsktao.exe、nwizdh.exe、dh2103.dll、mppds.dll C:\Program Files\Internet Explorer\PLUGINS目录:system32.jmp C:\Program Files\Internet Explorer\PLUGINS目录:System64.sys %tmp%目录:qq.exe 注册表改动: 添加: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的wincdb、mppds HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD HKCU\Software\Tencent\Hooker HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5FF01121-F04D-30cf-64CD-74FF5FE1CF 清理方法: 用任务管理器结束explorer.exe的进程树并关闭任务管理器,用icesword v1.20把上面的那些文件强行删除,然后把那些注册表项和键值都删除,重启,OK! 另: 病毒一直在监听远程IP:58.218.202.151,也就是www.的IP地址,估计这个木马群有升级的能力! |
|