我的同学昨天在他的Q群的共享中发现这个玩意,下载之后运行,无其他反应,但QQ马上自动关闭。他意识到不好,于是今天把我找来。通过SREng日志,我马上发现并基本解决了它。然而当他想找到原来下载的exe文件时,原来的文件已经不见了(原因后面说明),他只好再下载一次,把样本交给了我。这个东东,其实很无聊,蟊贼一个。
双击运行后,创建文件:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\winrar.lmz
C:\Program Files\Common Files\Microsoft Shared\MSINFO\hackbase
创建注册表项:
[HKEY_CLASSES_ROOT\CLSID\{08315C1B-9BA9-4B7C-A432-26885F78DF29}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{08315C1B-9BA9-4B7C-A432-26885F78DF29}\InProcServer32]
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\winrar.lmz"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{08315C1B-9BA9-4B7C-A432-26885F78DF29}"=""
[HKEY_CURRENT_USER\Software\jpqqd]
[HKEY_CURRENT_USER\Software\jpqqd\QQ2006]
"IsFirst"="xr"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
创建PendingFileRenameOperations键,键值为原文件路径。
SREng日志可见:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{08315C1B-9BA9-4B7C-A432-26885F78DF29}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\winrar.lmz> []
C:\Program Files\Common Files\Microsoft Shared\MSINFO\winrar.lmz插入包括explorer.exe、ctfmon.exe在内的多个进程。
该病毒有注册表守护,感染后每删除以上注册表,病毒立刻又自动添加。再加上winrar.lmz插入不少进程,又不能立即删除它。
C:\Program Files\Common Files\Microsoft Shared\MSINFO\hackbase却可以直接删除。
不过,该病毒没有文件名的监控,允许对病毒文件进行重命名操作,所以比较简单的查杀方法如下:
1.找到C:\Program Files\Common Files\Microsoft Shared\MSINFO\winrar.lmz,将其改名,比如改为winrar.txt等
2.C:\Program Files\Common Files\Microsoft Shared\MSINFO\hackbase可直接删除
3.重启后,删除winrar.txt(由于被改名,它已不能被加载,可直接删除),清理注册表的垃圾。
最后回过头来说说消失的“QQ密码保护查询器.exe”。当你回过头来找它时,会发现它已经不见了,原因在于以上提到的这个注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
创建PendingFileRenameOperations键,键值为原文件路径。
这个键的作用,是使用系统的“延迟删除”功能,使系统重启后,在win32子系统仍未加载的时候,由smss.exe读取此键值并执行删除操作,操作执行完毕后又自动删除此键。这样,中了此病毒后,只要重启一下,原始的exe文件就会被系统自动删除了。
另外,这个病毒应该会删除QQ的密码保护驱动,所以杀毒后要重装QQ。
