今天在群里聊天..有个朋友说木蚂蚁软件站被挂马..
于是从霏凡拿来样本进行测试..好玩意偷Q呢..

样本里有四个文件.. cjb[1].exe  new123.systongji[1].js(脚本)up[1].exe 
new123.sys 是cjb[1].exe与up[1].exe 运行后得到的..

运行cjb[1].exe 后生成文件
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
MicroSoft.bat(删除自身)
添加注册表
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
这个好杀除..删除生成文件后删除上面的注册表即可..

up[1].exe  这才是个好货色..运行后生成文件
C:\bootlog.sys
c:\microsoft.bat(删除自身)
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
C:\Program Files\Internet Explorer\PLUGINS\new123.bak
添加注册表
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
删除了QQ密码加密文件
C:\Program Files\Tencent\QQ\npkcrypt.sys

这样就能轻易的盗走QQ了..

查杀:
删除
C:\bootlog.sys(如果还存在)
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
C:\Program Files\Internet Explorer\PLUGINS\new123.bak
删除注册表
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}

最后重装一下QQ...

瑞星最新版本暂时不杀..
有兴趣的朋友可下载样本:http://mopery.hits.io/virus.zip 密码:virus