现在说是昨天晚上了,收到这个样本,不知是不是主体,不过看其行为好象是,不敢确定,在先前的日志中有以下启动项:
O4 - HKLM\..\Run: [Realplayer.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKLM\..\Run: [Messenger.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKLM\..\Run: [Messager.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKCU\..\Run: [Messenger.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKCU\..\Run: [Realplayer.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKCU\..\Run: [Messager.exe] C:\Program Files\Tencent\QQ\Messenger.exe
其中的Messenger.exe当然是有问题了,我分析的就是这个文件.
该文件也是比较弱智,呵呵,幸好我的QQ目录与系统不在一个分区,运行这个程序后会生成以下文件(X为系统所在分区):
X:\Program Files\Tencent\QQ\Messenger.exe(它自己建的目录)
X:\WINDOWS\system32\Maxthonz.dll
X:\Program Files\Tencent\QQ\RTraveler.dll
X:\WINDOWS\gafsdaz.bat 该文件主要功能是删除Messenger.exe原始文件及自删除,内容如下:
:try
del "F:\Documents and Settings\admin\桌面\Messenger\Messenger.exe"
if exist "F:\Documents and Settings\admin\桌面\Messenger\Messenger.exe" goto try
del %0
DLL会插入explorer进程
调用CMD运行gafsdaz.bat
修改注册表HKCR\PROTOCOLS\Filter\
添加:text/html\CLSID:{0EB00690-8FA1-11D3-96C7-829E3EA50C29}(Maxthonz.dll注册)
知道它的行为解决办法就简单了.我的办法是结束进程,直接删除文件,可能别人中的不一样,所以还是麻烦点也好:
1、使用icesword删除以下启动项(hijackthis和系统的注册表编辑器不能删除):
O4 - HKLM\..\Run: [Realplayer.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKLM\..\Run: [Messenger.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKLM\..\Run: [Messager.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKCU\..\Run: [Messenger.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKCU\..\Run: [Realplayer.exe] C:\Program Files\Tencent\QQ\Messenger.exe
O4 - HKCU\..\Run: [Messager.exe] C:\Program Files\Tencent\QQ\Messenger.exe
2、重起删除以下文件(如果提示不能删除请使用工具)
X:\Program Files\Tencent\QQ\Messenger.exe
X:\WINDOWS\system32\Maxthonz.dll
X:\Program Files\Tencent\QQ\RTraveler.dll
3、清理注册表
HKCR\PROTOCOLS\Filter\
删除text/html\CLSID:{0EB00690-8FA1-11D3-96C7-829E3EA50C29}
