清除木馬System6.jupSystem6.ins行文

木馬永遠不會放棄感染駐扎電腦的機會。不安全的系統(tǒng)在訪問惡意網(wǎng)站時，將會被網(wǎng)頁中含有的木馬攻陷，即使網(wǎng)民不訪問惡意網(wǎng)站，那么U盤，網(wǎng)絡壓縮包局域網(wǎng)依然可以成為木馬的感染途徑。小到個人電腦用戶，大到企業(yè)網(wǎng)絡服務器管理人員，無不對其深惡痛絕。
     Trojan-PSW.Win32.Delf.zh簡介
     此馬為盜QQ的木馬，利用開啟監(jiān)視功能，能準確的將QQ帳號與密碼發(fā)送到木馬人指定接收地址，從而使得盜取者獲得信息并登陸。
     病毒名稱： Trojan-PSW.Win32.Delf.zh（Kaspersky）
     病毒別名： PWS-QQPass.dll [dll]（McAfee）
     Generic PWS.y [exe]（McAfee）
     Trojan.PSW.Win32.Agent.vde [exe]（瑞星）
     Trojan.PSW.Win32.Agent.vdd [dll]（瑞星）
     Win32.PSWTroj.Delf.zf.26424 [dll]（毒霸）
     Win32.PSWTroj.Delf.zh.86577 [exe]（毒霸）
     病毒大小： 22,065 字節(jié)
     傳播方式： 通過惡意網(wǎng)頁傳播、其它木馬下載
     此木馬可以產(chǎn)生很多變種如：system.jmp system.sys、system.jmp system16.sys、NewInfo.bmt system.2dt等，都直接威脅QQ使用者安全。
     木馬分析
    該木馬感染計算機后，首先將自身病毒源文件復制到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目錄下，生存System6.jup文件，隨后釋放DLL注放進程到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\下，文件名為System6.ins，此時木馬首要任務完成，開始寫入注冊表。
     在注冊表中木馬首先會在分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下加入啟動信息{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}"="及[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}\InProcServer32]下的@=%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\System6.ins信息，隨后添加注冊表[HKEY_CURRENT_USER\Software\Tencent\Ie]鍵值"First"。
     最后木馬將自動連接網(wǎng)絡相關地址，下載其它第三型病毒、木馬或惡意程序到計算機臨時目錄（TEMP）中，進一步感染計算機，讓其成為木馬病毒大本營。
     清除方法
     木馬顯然很令人討厭，但網(wǎng)民卻可以從清除中學到不少知識，而經(jīng)驗正是今后對付新型木馬的參照之本。首先中馬網(wǎng)民要從注冊表入手，先刪除木馬創(chuàng)建的ShellExecuteHooks項，位于注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}及注冊表[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}]下的項目，隨后重新啟動計算機。
     重新啟動計算機開始刪除木馬自身文件System6.jup和System6.ins，兩者都位于%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目錄下，最后再次進入注冊表找到[HKEY_CURRENT_USER\Software\Tencent\Ie]將其鍵值刪除，即可全面清理掉該盜QQ木馬了。