木马PSW.Win32.QQPass.akj分析

　　代码分析

　　1、主程序中代码

　　2、所调用子程序代码

　　创建autorun.inf的子程序

　　3、判断病毒文件是否已经被加载成功

　　4、加载病毒文件到所有当前用户的进程中

　　5、修改注册表，添加hook项

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　（1） 使用安天木马防线“进程管理”卸除所有加载到当前用户进程中的病毒文件

　　（2） 删除病毒文件

　　%Program Files%\Internet Explorer\PLUGINS\SysWin6k.Jmp

　　%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys

　　（3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25799B4A-E35A-4A34

　　-BFE5-07C0784C37C7}\inProCserveR32]

　　注册表值："@"

　　类型： REG_SZ

　　值： "C：\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

　　ShellExecuteHooks]

　　注册表值："{25799B4A-E35A-4A34-BFE5-07C0784C37C7}"

　　类型： REG_SZ

　　值：""

上一页  [1] [2] 

【责编:John】