关于QQ狐狸王新变种Worm.QQ.TopFox.ap
Worm.QQ.TopFox.ap(实体文件:wmimgr32.exe)是“QQ狐狸王”的一个新变种。
在powershadow的保护下,观察了一下这个蠕虫的感染过程。果然很变态。中招后,系统基本上就残废了。有系统光盘的,杀毒后,就用光盘修复系统吧。没系统光盘的,有系统GHOST备份也行。
网上提到的查杀方法并不可靠。删除蠕虫启动项以及所有蠕虫件后,系统不再报文件被替换,但SSM仍报告explorer.exe和ctfmon.exe的MD5 值被更改。
从这个TOPFOX替换系统关键文件来看,中招后再杀毒,也解决不了根本问题。应将其视为一个恶性蠕虫。
下面几个附图是我观察到的感染过程:
图1-图5:替换系统重要文件
图6:不停的进程插入
图7:蠕虫创建/篡改的文件
—————————————
图1
