关于“QQ幻想自动挖矿外挂.exe”
收到轩辕小聪发来的样本——“QQ幻想自动挖矿外挂.exe”。这是个木马,不是什么“外挂”。
这个木马文件虽然是RAR图标,但其后缀是.exe。玩儿外挂的菜鸟多会双击它,希望用WINRAR解压出那个“外挂”。
其实,双击后,这个木马已经运行。
此马运行后:
1、释放下列文件:
C:\Program Files\Internet Explorer\PLUGINS\new123.dll
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
2、写入注册表:
在:HKEY_CLASSES_ROOT\CLSID\分支
添加:{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
在:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支
添加:"{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}"=""
根据上述行为,我认为此马是“刘麻子”的一个变种。多了一个sys文件而已。
此马通过ShellExecuteHooks加载,中招用户点击桌面上的任何可执行文件图标,均会运行C:\Program Files\Internet Explorer\PLUGINS\new123.dll。
查杀:
1、用SSM禁止下列木马程序运行:
C:\Program Files\Internet Explorer\PLUGINS\new123.dll
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
2、删除木马添加的注册表内容。
3、重启系统。
4、删除木马文件。
