- 桌面恶意网站图标无法删除解决方案
- 每个页面挂马内容都不相同,如何批量清理(图)
- twex.exe,winlogon.exe,rstray.exe分析
- Worm.Win32.AutoRun.lmx行为分析
- 5566dh,wz123,v2233,Win+E解决方案
- CC0EC2C9.dll ,bKkCsU7Z6YntjH4G.ttf 等盗号木马
- jjxzwzjy090315.exe ,jjxzbjcj32dl.dll 等分析查
- dkmsskmgrs.dll,packet.dll 等病毒清除
- kvsys.sys ,tesafe.sys ,System32.exe查杀
- 隐藏IP 流量转移 可以防御网吧DDOS
- 免费安全工具肉鸡检测器 作者强力推荐
- hytnxobv.dll ,gzqqhx01.dat 查杀
- 下载器 keepSafe.exe 分析查杀
- 2d5b97.tmp ,2cb3df.tmp ,27dc5b.t 分析
- tmpqq10000a.dat 等病毒清除解决方案
- qin58.exe ,ResetTest.txt 等下载者病毒清除
- F_Server.exe 等病毒清除
- 行为分析Trojan.Win32.Buzus.apkp
- IE首页经常被改成5566dh,wz123,v2233
- “犇牛”变种 ibspyerps.dat分析
该恶意代码文件为Dropper类木马,病毒运行后连接网络读取列表下载病毒文件,将下载后的文件保存到%Program Files%\Internet Explorer目录下,重命名为1.exe病隐藏运行该病毒文件,将自身拷贝到%Windir%目录下,受感染的机器会伪装QQ系统信息10000号发送中奖信息,在桌面右下角7分钟弹一次QQ中奖页面诱骗用户。
清除方案
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具
(1)重启电脑F8进入安全模式下删除以下病毒文件
%Windir%\Mic.exe
%Windir%\Mic2.exe
%Windir%\AntiVirus.sys
%Program Files%\Common Files\Tencent\QQPlug\img\ad.png
%Program Files%\Common Files\Tencent\QQPlug\ClickLoadDrv.dll
%Program Files%\Common Files\Tencent\QQPlug\kiss.sys
%Program Files%\Common Files\Tencent\QQPlug\QQPet.dll
%Program Files%\Common Files\Tencent\QQPlug\QQPlugUpdate.exe
%Program Files%\Common Files\Tencent\QQPlug\domain.dll
%Program Files%\Common Files\Tencent\QQPlug\QQdoctor.exe
%Program Files%\Common Files\Tencent\QQPlug\QQPlugIn.ini
(2)恢复病毒修改的注册表项 www.newjian.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串:
"%Windir%\system32\userinit.exe,C:\PROGRA~1\COMMON~1\Tencent\QQPlug\QQdoctor.exe"
旧: 字符串: "%Windir%\system32\userinit.exe,"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\drmkaud\ImagePath
新: 字符串: "\??\%Windir%\AntiVirus.sys."
旧: 字符串: "system32\drivers\drmkaud.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drmkaud\ImagePath
新: 字符串: "\??\%Windir%\AntiVirus.sys."
旧: 字符串: "system32\drivers\drmkaud.sys."
(3)删除病毒创建的注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28377E3D-D0AB-DD4A-0706-030805000603}\StubPath
值: 字符串: "Mic2.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10E1725C-7237-41A9-954A-04DCCB1FD16C}\InprocServer32\@
值: 字符串: "\\?\C:\PROGRA~1\COMMON~1\Tencent\QQPlug\domain.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3C8BF053-0A65-46FE-A757-2187BD66EF34}\1.0\0\win32\@
值: 字符串: "\\?\C:\PROGRA~1\COMMON~1\Tencent\QQPlug\domain.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28377E3D-D0AB-DD4A-0706-030805000603}\StubPath
值: 字符串: "Mic2.exe"
1.exe行为分析:该病毒文件运行之后在%Program Files%\Common Files目录下创建一个Tencent\QQPlug\img文件夹,调用RD命令删除除目录本身外的所有子目录和文件,为了防止和旧版本病毒产生冲突,并重命名旧版病毒文件的2个文件QQPet.dll、domain.dll,删除QQPlug目录下的ClickLoadDrv.dll文件,并创建release.tmp文件到该目录下,将该文件命名为ClickLoadDrv.dll文件,并设置该病毒文件属性为隐藏,调用函数动态加载该病毒DLL文件,动态获取调用该病毒DLL的4个模块地址KillSD、fnClickLoadDrv、fnKillKIS、fnUnLoadDrv,分别对后期创建的病毒驱动文件做处理,创建互斥量名为UnoadkISS防止病毒多次运行,设置病毒注册表开机启动项,创建多个病毒文件到QQPlug目录下伪装成QQ文件。
www.newjian.com
ClickLoadDrv.dll行为分析:该文件被调用之后遍历进程查找多款安全软件进程,找到之后结束进程,创建病毒驱动文件到病毒创建的QQPlug目录下,命名为kiss.sys将该驱动文件拷贝到%Windir%目录下重命名为AntiVirus.sys,并创建注册表服务以服务方式启动病毒启动文件。
行为分析-本地行为
1、文件运行后会释放以下文件
%Windir%\Mic.exe (病毒原文件)
%Windir%\Mic2.exe (病毒原文件)
%Windir%\AntiVirus.sys (监视关闭多款安全软件)
%Program Files%\Common Files\Tencent\QQPlug\img\ad.png (图片文件)
%Program Files%\Common Files\Tencent\QQPlug\ClickLoadDrv.dll (释放病毒驱动关闭安全软件)
%Program Files%\Common Files\Tencent\QQPlug\kiss.sys (监视关闭多款安全软件)
%Program Files%\Common Files\Tencent\QQPlug\QQPet.dll (伪装QQ创建中奖消息窗口关闭安全软件)
%Program Files%\Common Files\Tencent\QQPlug\QQPlugUpdate.exe (病毒升级检测程序)
%Program Files%\Common Files\Tencent\QQPlug\domain.dll
%Program Files%\Common Files\Tencent\QQPlug\QQdoctor.exe (将病毒代码写入EXPLORER.EXE进程)
%Program Files%\Common Files\Tencent\QQPlug\QQPlugIn.ini (病毒配置信息)
2、创建病毒注册表启动项、修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{28377E3D-D0AB-DD4A-0706-030805000603}\StubPath
值: 字符串: "Mic2.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "%Windir%\system32\userinit.exe,C:\PROGRA~1\COMMON~1\Tencent\QQPlug\QQdoctor.exe"
旧: 字符串: "%Windir%\system32\userinit.exe,"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\drmkaud\ImagePath
新: 字符串: "\??\%Windir%\AntiVirus.sys."
旧: 字符串: "system32\drivers\drmkaud.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drmkaud\ImagePath
新: 字符串: "\??\%Windir%\AntiVirus.sys."
旧: 字符串: "system32\drivers\drmkaud.sys."
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10E1725C-7237-41A9-954A-04DCCB1FD16C}\InprocServer32\@
值: 字符串: "\\?\C:\PROGRA~1\COMMON~1\Tencent\QQPlug\domain.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3C8BF053-0A65-46FE-A757-2187BD66EF34}\1.0\0\win32\@
值: 字符串: "\\?\C:\PROGRA~1\COMMON~1\Tencent\QQPlug\domain.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{28377E3D-D0AB-DD4A-0706-030805000603}\StubPath
值: 字符串: "Mic2.exe"
3、调用RD命令:rd /s /q \\?\\\?\C:\PROGRA~1\COMMON~1\Tencent\QQPlug\ClickLoadDrv.dll,删除除目录本身外的所有子目录和文件,为了防止和旧版本病毒产生冲突,并重命名旧版病毒文件的2个文件QQPet.dll、domain.dll,删除QQPlug目录下的ClickLoadDrv.dll文件,并创建release.tmp文件到该目录下,将该文件命名为ClickLoadDrv.dll文件,并设置该病毒文件属性为隐藏,调用函数动态加载该病毒DLL文件,动态获取调用该病毒DLL的4个模块地址KillSD、fnClickLoadDrv、fnKillKIS、fnUnLoadDrv遍历以下进程查找多款安全软件进程,找到之后结束进程:
egui.exe、KVSrvXP.exe、KVPreScan.exe、KVMonXP.kxp、MPMon.exe、MPSVC.exe、MPSVC1.exe、MPSVC2.exe、kpfw32.exe、kavstart.exe、kpfwsvc.exe、Rav.exe、ras.exe、knownsvr.exe、RavMonD.exe、RsTray.exe、RavTask.exe、CCenter.exe、rsnetsvr.exe
4、受感染的机器会伪装QQ系统信息10000号发送中奖信息
5、在桌面右下角7分钟弹一次QQ中奖页面诱骗用户
行为分析-网络行为
http://www.qqluck****.cn/88.txt
描述:连接以上域名读取TXT信息下载病毒文件
