Worm.Win32.QQPass.ar病毒样本分析
Worm.Win32.QQPass.ar蠕虫病毒运行后,复制自身到%Program Files%\Internet Explorer\PLUGINS下,并在该文件夹下衍生病毒文件,修改注册表,添加HOOK项,达到随系统启动目的……
【IT专家网独家】病毒名称: Worm.Win32.QQPass.ar
病毒类型: 蠕虫
文件MD5: 8868805AD4648452AF1071269962FDA3
危害等级: 5
文件长度: 33,404 字节(脱壳前)/113,152 字节(脱壳后)
感染系统: Windows98以上版本
病毒描述:
该病毒属蠕虫类。病毒运行后,复制自身到%Program Files%\Internet Explorer\PLUGINS下,并在该文件夹下衍生病毒文件,修改注册表,添加HOOK项,以达到伴随某些程序启动的目的。
行为分析:
1、文件运行后会释放以下文件
| %Program Files%\Internet Explorer\PLUGINS\SysWin6k.Jmp %Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys |
2、新增注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\inProCserveR32]
注册表值:"@"
类型: REG_SZ
值:"C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys"
描述: 为病毒文件设置ID号
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\InProcServer32]
注册表值:"ThreadingModel"
类型: REG_SZ
值: "Apartment"
描述:设定文件的运行模式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值:"{25799B4A-E35A-4A34-BFE5-07C0784C37C7}"
类型: REG_SZ
值:""
描述: 将病毒文件的ID号添加到HOOK项中,使其随其他程序启动。
注:%Program Files%是一个可变路径。为系统程序默认安装目录。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%\Internet Explorer\PLUGINS\SysWin6k.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\inProCserveR32]
注册表值:"@"
类型: REG_SZ
值:"C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34-BFE5-07C0784C37C7}\InProcServer32]
注册表值:"ThreadingModel"
类型: REG_SZ
值: "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值:"{25799B4A-E35A-4A34-BFE5-07C0784C37C7}"
类型: REG_SZ
值:""
- 本文关键词:
