清除木马System6.jupSystem6.ins行文
木马永远不会放弃感染驻扎电脑的机会。不安全的系统在访问恶意网站时,将会被网页中含有的木马攻陷,即使网民不访问恶意网站,那么U盘,网络压缩包局域网依然可以成为木马的感染途径。小到个人电脑用户,大到企业网络服务器管理人员,无不对其深恶痛绝。 Trojan-PSW.Win32.Delf.zh简介
此马为盗QQ的木马,利用开启监视功能,能准确的将QQ帐号与密码发送到木马人指定接收地址,从而使得盗取者获得信息并登陆。
病毒名称: Trojan-PSW.Win32.Delf.zh(Kaspersky) 病毒别名: PWS-QQPass.dll [dll](McAfee) Generic PWS.y [exe](McAfee)
Trojan.PSW.Win32.Agent.vde [exe](瑞星) Trojan.PSW.Win32.Agent.vdd [dll](瑞星) Win32.PSWTroj.Delf.zf.26424 [dll](毒霸) Win32.PSWTroj.Delf.zh.86577 [exe](毒霸) 病毒大小: 22,065 字节
传播方式: 通过恶意网页传播、其它木马下载
此木马可以产生很多变种如:system.jmp system.sys、system.jmp system16.sys、NewInfo.bmt system.2dt等,都直接威胁QQ使用者安全。 木马分析
该木马感染计算机后,首先将自身病毒源文件复制到%ProgramFiles%\\Common Files\\Microsoft Shared\\MSINFO\\目录下,生存System6.jup文件,随后释放DLL注放进程到%ProgramFiles%\\Common Files\\Microsoft Shared\\MSINFO\\下,文件名为System6.ins,此时木马首要任务完成,开始写入注册表。 在注册表中木马首先会在分支[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]下加入启动信息{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}\及[HKEY_CLASSES_ROOT\\CLSID\\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}\\InProcServer32]下的@=%ProgramFiles%\\Common Files\\Microsoft Shared\\MSINFO\\System6.ins信息,随后添加注册表[HKEY_CURRENT_USER\\Software\\Tencent\\Ie]键值\。
最后木马将自动连接网络相关地址,下载其它第三型病毒、木马或恶意程序到计算机临时目录(TEMP)中,进一步感染计算机,让其成为木马病毒大本营。 清除方法
木马显然很令人讨厌,但网民却可以从清除中学到不少知识,而经验正是今后对付新型木马的参照之本。首先中马网民要从注册表入手,先删除木马创建的ShellExecuteHooks项,位于注册表[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]下的{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}及注册表[HKEY_CLASSES_ROOT\\CLSID\\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}]下的项目,随后重新启动计算机。
重新启动计算机开始删除木马自身文件System6.jup和System6.ins,两者都位于%ProgramFiles%\\Common Files\\Microsoft Shared\\MSINFO\\目录下,最后再次进入注册表找到[HKEY_CURRENT_USER\\Software\\Tencent\\Ie]将其键值删除,即可全面清理掉该盗QQ木
马了。 【
清除木马System6.jupSystem6.ins行文
