病毒行为:
运行3.exe后:
1、文件改动:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\下生成system.2dt以及NewInfo.bmp
2、注册表改动:
添加:
HKEY_CURRENT_USER\Software\Tencent\IeHook以及下面的键值First,值为kk
HKCR\CLSID\{A
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A
3、等了大约4分钟后开始利用被插入模块的explorer.exe下载下面的几个东西了:
http://www.senlove.com/0/mh.exe
http://www.senlove.com/0/wow.exe
http://www.senlove.com/0/wd.exe
http://www.senlove.com/0/qq.exe
http://www.senlove.com/0/dh.exe
http://www.senlove.com/0/zt.exe
4、这堆东西在系统弄了一堆东西:
文件改动:
生成:
windows目录:wincdb.exe、mppds.exe
system32目录:wincdb.dll、nwizAsktao.exe、nwizdh.exe、dh2103.dll、mppds.dll
C:\Program Files\Internet Explorer\PLUGINS目录:system32.jmp
C:\Program Files\Internet Explorer\PLUGINS目录:System64.sys
%tmp%目录:qq.exe
注册表改动:
添加:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的wincdb、mppds
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD
HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD
HKCU\Software\Tencent\Hooker
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5FF01121-F04D-30cf-64CD-74FF5FE1CF
清理方法:
用任务管理器结束explorer.exe的进程树并关闭任务管理器,用icesword v1.20把上面的那些文件强行删除,然后把那些注册表项和键值都删除,重启,OK!
另:
病毒一直在监听远程IP:58.218.202.151,也就是www.senlove.com的IP地址,估计这个木马群有升级的能力!
联系客服