标题:QQ中毒,杀毒软件瑞星不能启动!      发表于2007-10-8 15:16:30

欢迎光临 午时栏社区 高先网络    QQ远程协助留言  反回首页
软件学习使用栏目   病毒分析查杀栏目   中小学幼儿栏目  英语会话栏目 
 

    标题:QQ中毒,杀毒软件瑞星不能启动!

=====================================       

 
查出了2个病毒 名字叫 Trojan.DL.Win 用瑞星杀不掉. 结果老是是重启后删除 可好几次都这样 杀不了.

    这是一个特洛依木马程序,会伪装成一个常用软件,而事实上却试图做的其他的事情,如窃取用户密码,重要信息等。

    它是:“自动运行木马下载器变种YTZ(Trojan.DL.Win32.Autorun.ytz)”病毒。该病毒会通过优盘、移动硬盘、MP3播放器等移动存储设备传播,会在后台自动下载多个病毒、木马及后门程序,给用户的计算机安全带来威胁。

查出了2个病毒 名字叫 Trojan.DL.Win 用瑞星杀不掉. 结果老是是重启后删除 可好几次都这样 杀不了.

    这是一个特洛依木马程序,会伪装成一个常用软件,而事实上却试图做的其他的事情,如窃取用户密码,重要信息等。

    它是:“自动运行木马下载器变种YTZ(Trojan.DL.Win32.Autorun.ytz)”病毒。该病毒会通过优盘、移动硬盘、MP3播放器等移动存储设备传播,会在后台自动下载多个病毒、木马及后门程序,给用户的计算机安全带来威胁。

QQ上有信息,“...请先看教程看这份工作适合不适合您 谢谢配合”如果打开这个信息就会中毒!

qq中了毒病,会自动发“极速网络公司因业务需要现招聘可长时间在线上网的工作人员

操作简单 月工资1千到5千元不等 试用3日 联系QQ714220 ”这个广告!

这个qq上的信息,有个“w.ahwlqa.com/jc.rar 如果我不在请先看教程

看这份工作适合不适合您 谢谢配合”,如果打qq上的这个信息就会中毒!杀毒软件瑞星中毒,

不能启动!

网上搜索查了下,搜索引擎找到需要的资料。“极速工作室/极速网络公司招聘”

 盗号木马专杀,作者:清新阳光

接到很多起投诉说QQ里接到了Qq好友发来的类似“极速网络公司招聘的消息”如图,

这是利用社会工程学盗号的一个很好例子。

黑客会利用QQ尾巴病毒使中毒者会在往群里或者给他的好友发送这样的信息 如果你是个大四

的毕业生或者是急于求得个工作的“待业青年”,出于好奇,你加了那个QQ为714220的好友。

当你因好奇而去查询此号码的资料的时候,会看到签名内容,当然有人还会去乖乖的下这个jc.rar的文件,下来之后一看,压缩包里面是个exe文件.

有点安全意识的人可能会用杀毒软件扫描一下这个压缩包。如果你比较幸运,杀毒软件正好

对他报警了,那么你便逃脱了此劫;但如果你的杀毒软件没有报警呢?可能你会继续解压缩,

运行里面的exe文件吧!
运行了里面的exe文件以后,就得“恭喜”你了!因为你成功地中了黑客设置的圈套。是你的

好奇心和薄弱的安全意识一步一步使你走进了这个“陷阱”!

现在我们就来看看黑客设置的到底是个什么“陷阱”

File: 教程.Exe
Size: 33063 bytes
MD5: 2CBEF55713CAD85EC3937BF71818A069
SHA1: 972D2364D5C87BBB9381FA9738D10F937BD92A31
CRC32: DD8114DD

这是一个盗取QQ帐号的木马程序,教程.exe运行后,释放如下文件
%Program Files%\Internet Explorer\PLUGINS\SysWin74.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys
%Program Files%\Internet Explorer\Info_Ms.Sys
E:\autorun.exe
E:\autorun.inf


添加如下键值以达到开机自动启动的作用
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]
      {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys}    []
     {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys}    []%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys

会注入Explorer进程,并设置全局钩子监控QQ登陆窗口,当用户登陆QQ时,把自身注入到QQ

中窃取密码。 %Program Files%\Internet Explorer\Info_Ms.Sys会连接网络,接受QQ尾巴发

送的消息内容之后WinSys84.Sys还会控制Explorer.exe下载木马群木马群下载完毕以后

sreng日志如下
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]
      {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys}    []
      {{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\WINDOWS\system32\xyupri0.dll}    []
      {{2598FF45-DA60-F48A-BC43-10AC47853D52}}{C:\WINDOWS\system32\rarjbpi.dll}    []
      {{A393C2CF-1C26-4309-9765-13B7FDC0F200}}{C:\WINDOWS\system32\mypern0.dll}    []
      {{2960356A-458E-DE24-BD50-268F589A56A2}}{C:\WINDOWS\system32\avwlbmn.dll}    []
      {{334345F1-DACF-3452-CB7D-4620F34A1533}}{C:\WINDOWS\system32\rsztcpm.dll}    []
      {{57D81718-1314-5200-2597-587901018075}}{C:\WINDOWS\system32\kaqhezy.dll}    []
      {{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}}{C:\WINDOWS\system32\kvdxcma.dll}    []
      {{66650011-3344-6688-4899-345FABCD1566}}{C:\WINDOWS\system32\ratbfpi.dll}    []
      {{4859245F-345D-BC13-AC4F-145D47DA34F4}}{C:\WINDOWS\system32\avzxdmn.dll}    []
      {{18847374-8323-FADC-B443-4732ABCD3781}}{C:\WINDOWS\system32\sidjazy.dll}    []
      {{28907901-1416-3389-9981-372178569982}}{C:\WINDOWS\system32\kawdbzy.dll}    []
      {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys}    []
      {{444D7AB0-639D-445F-9143-3B3FFB2A7F39}}{C:\WINDOWS\system32\dh3vpw0.dll}    []


清除办法:
1.安全模式下删除
%Program Files%\Internet Explorer\PLUGINS\SysWin74.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys
%Program Files%\Internet Explorer\Info_Ms.Sys
E:\autorun.exe
E:\autorun.inf
并利用sreng 删除对应的启动项目

2.C:\WINDOWS\system32\xyupri0.dll等木马群参考之前的随机7位数dll木马清除办法即可

由以上分析可以看出,黑客目前的盗号手段层出不穷,已经开始广泛利用社会工程学手段

骗取人们的信任,让你一步步走入他精心设置好的陷阱之中。在此提醒广大网友在使用

即时通讯工具进行交流一定注意以下几点:
1.一定要增强安全意识,不要相信任何形式的广告,点歌,求职,邀请等信息,尤其是

当这些信息中出现了某些链接网址或者下载信息时更需注意。

2.不要轻易接受别人给你的文件,即便是好友给你的文件,也要问清楚再接受。接受来的

文件一定要使用杀毒软件进行杀毒。如果接受来的文件为exe,scr等可执行文件更需注意。

最好不要轻易运行这类可执行文件。最后希望大家时时保持警惕之心,控制自己的“好奇心”,提高自己的安全意识,尽量规避网络上的未知风险。

===========================================================

极速网络公司因业务需要现招聘可长时间在线上网的工作人员

操作简单月工资1千到5千元不等试用3日联系QQ714220

那和中毒有什么关系呢?我问了后才知道 好多人都是去下载了个叫:“教程.rar”的鬼程序.

去下载了这个程序 可惜下载到79% 杀毒软件就把他秒杀了.............

关了杀毒软件重新下载 下载成功 打开所在文件夹时 微点又把他差出来了...........

关闭了所有杀毒软件&防火墙后 再下载 运行了 哦 发现了以下症状:

==================================

1.qq自动发言

2.qq自动关闭

3.启动项异常

==================================

重新打开微点防御 得知C:\Documents and Settings\Administrator\桌面\新建文件夹\教程.EXE

木马程序生成以下文件:
1) E:\AUTORUN.EXE
此文件带以下驱动:
D:\WINDOWS\SYSTEM32\DRIVERS\
是否删除木马程序及其衍生物?

=================================

删除之 上qq 发现无异,但是再启动qq时发现还会自动发送广告 .

运行注册表regedit.exe,发现多余的项目

hkey_local_machine\software\microsoft\windows nt\currentversion\windows\Appinit_Dlls

下面的rarjbpi.dll值删掉

但是重启电脑后 c:windows\system32\rarjbpi.dll还是不能删除


打开了SRE    对系统扫描

发现2问题启动项 直接关闭无效 进入安全模式 打开regedit.exe 抹杀之

继续不放心 下载qhbpri 专杀 于是出现:

===============================

c:\windows\system32\sidjazy.dll
c:\windows\system32\ratbfpi.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\avwlbst.exe
c:\windows\system32\rsztcsp.exe
c:\windows\system32\kvdxcis.exe
c:\windows\system32\ratbftl.exe
c:\windows\system32\avzxdst.exe
c:\windows\system32\sidjaaz.exe
c:\windows\system32\kawdbaz.exe
发现病毒!

===============================

只好再次进安全模式,运行微点 删除了还原在E盘的毒 查找系统驱动文件夹 删除了未知的驱动

打开System Repair Engineer修改恢复规则, 运行恢复.

运行Autoruns 恢复系统启动项, 确认每一项后,重启.

===========================

qq上没发现奇怪的信息了


这个毒未运行的话几乎杀毒软件都会发现是毒 一旦运行 就难杀多了 而且不能杀干净,

希望大家相信 天上没白掉的饼子 养成对下载物的杀毒习惯 先杀后运行.

  回到顶部|  
发表于2007-10-8 
     

桂ICP备05014668号