档案编号:CISRT2007002
病毒名称:Trojan.Win32.Delf.rf(Kaspersky)
病毒别名:Trojan.QQMSG.Liumazi(瑞星)
Win32.Troj.QQMsgInfo.28688(毒霸)
病毒大小:27,900字节
加壳方式:UPX
样本MD5:b95d1102bcddfa26fb9a3f40129d2353
样本SHA1:0e52cbcc5fedf47408bad58aa1f0aaf9e00eeae2
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:QQ消息、恶意网页、其它病毒下载
技术分析
==========
这是一个QQ尾巴木马,运行后释放dll库文件:
Code:
%ProgramFiles%CommonFilesMicrosoftSharedMSInfoInfoMs.Ime
创建ShellExecuteHooks启动信息:
Code:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""
[HKEY_CLASSES_ROOTCLSID{C217767F-E340-49B8-85D3-3A72B9CD652F}InProcServer32]
@="%ProgramFiles%CommonFilesMicrosoftSharedMSInfoInfoMs.Ime"
向QQ好友发送信息:
Quote:
看了这个网站再说
http://8788.www-qq.cn
清除步骤
1.删除木马的ShellExecuteHooks启动信息:
Code:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""
[HKEY_CLASSES_ROOTCLSID{C217767F-E340-49B8-85D3-3A72B9CD652F}]
2.重新启动计算机
3.删除木马文件:
Code:
%ProgramFiles%CommonFilesMicrosoftSharedMSInfoInfoMs.Ime
【QQ尾巴 InfoMs.Ime 解决方案】相关文章:
★ WinFormA9.exe、kvmxcis.exe、cilpnoi.exe、duvadvm.exe“飘雪变种“的清除技巧
★ Windows提示找不到文件“chkfat.exe”的解决方法
★ bryato.exe,acpisys.sys等恶意文件清除解决方案
★ SREng用法简要图文说明[如何获得日志/删启动项目/服务/驱动/BHO等]
★ "熊猫烧香"犯罪嫌疑人李俊编写的病毒专杀工具(非病毒)下载
★ 完美解决 Trojan-PSW.Win32.Mike的方法
★ 关于winasse.exe生成Win59.exe等病毒的解决方法
★ woso.exe,wlso.exe,wmso.exe, woso.exe,ztso.exe 等木马盗号病毒专杀工具