木蚂蚁软件站被挂马..此马盗Q..
今天在群里聊天..有个朋友说木蚂蚁软件站被挂马..
于是从霏凡拿来样本进行测试..好玩意偷Q呢..
样本里有四个文件.. cjb[1].exe new123.systongji[1].js(脚本)up[1].exe
new123.sys 是cjb[1].exe与up[1].exe 运行后得到的..
运行cjb[1].exe 后生成文件
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
MicroSoft.bat(删除自身)
添加注册表
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
这个好杀除..删除生成文件后删除上面的注册表即可..
up[1].exe 这才是个好货色..运行后生成文件
C:\bootlog.sys
c:\microsoft.bat(删除自身)
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
C:\Program Files\Internet Explorer\PLUGINS\new123.bak
添加注册表
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
删除了QQ密码加密文件
C:\Program Files\Tencent\QQ\npkcrypt.sys
这样就能轻易的盗走QQ了..
查杀:
删除
C:\bootlog.sys(如果还存在)
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
C:\Program Files\Internet Explorer\PLUGINS\new123.bak
删除注册表
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
最后重装一下QQ...
瑞星最新版本暂时不杀..
有兴趣的朋友可下载样本:http://mopery.hits.io/virus.zip 密码:virus
