清除木馬System6.jupSystem6.ins行文

字號(hào):

木馬永遠(yuǎn)不會(huì)放棄感染駐扎電腦的機(jī)會(huì)。不安全的系統(tǒng)在訪問(wèn)惡意網(wǎng)站時(shí),將會(huì)被網(wǎng)頁(yè)中含有的木馬攻陷,即使網(wǎng)民不訪問(wèn)惡意網(wǎng)站,那么U盤(pán),網(wǎng)絡(luò)壓縮包局域網(wǎng)依然可以成為木馬的感染途徑。小到個(gè)人電腦用戶,大到企業(yè)網(wǎng)絡(luò)服務(wù)器管理人員,無(wú)不對(duì)其深惡痛絕。
     Trojan-PSW.Win32.Delf.zh簡(jiǎn)介
     此馬為盜QQ的木馬,利用開(kāi)啟監(jiān)視功能,能準(zhǔn)確的將QQ帳號(hào)與密碼發(fā)送到木馬人指定接收地址,從而使得盜取者獲得信息并登陸。
     病毒名稱: Trojan-PSW.Win32.Delf.zh(Kaspersky)
     病毒別名: PWS-QQPass.dll [dll](McAfee)
     Generic PWS.y [exe](McAfee)
     Trojan.PSW.Win32.Agent.vde [exe](瑞星)
     Trojan.PSW.Win32.Agent.vdd [dll](瑞星)
     Win32.PSWTroj.Delf.zf.26424 [dll](毒霸)
     Win32.PSWTroj.Delf.zh.86577 [exe](毒霸)
     病毒大小: 22,065 字節(jié)
     傳播方式: 通過(guò)惡意網(wǎng)頁(yè)傳播、其它木馬下載
     此木馬可以產(chǎn)生很多變種如:system.jmp system.sys、system.jmp system16.sys、NewInfo.bmt system.2dt等,都直接威脅QQ使用者安全。
     木馬分析
    該木馬感染計(jì)算機(jī)后,首先將自身病毒源文件復(fù)制到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目錄下,生存System6.jup文件,隨后釋放DLL注放進(jìn)程到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\下,文件名為System6.ins,此時(shí)木馬首要任務(wù)完成,開(kāi)始寫(xiě)入注冊(cè)表。
     在注冊(cè)表中木馬首先會(huì)在分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下加入啟動(dòng)信息{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}"="及[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}\InProcServer32]下的@=%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\System6.ins信息,隨后添加注冊(cè)表[HKEY_CURRENT_USER\Software\Tencent\Ie]鍵值"First"。
     最后木馬將自動(dòng)連接網(wǎng)絡(luò)相關(guān)地址,下載其它第三型病毒、木馬或惡意程序到計(jì)算機(jī)臨時(shí)目錄(TEMP)中,進(jìn)一步感染計(jì)算機(jī),讓其成為木馬病毒大本營(yíng)。
     清除方法
     木馬顯然很令人討厭,但網(wǎng)民卻可以從清除中學(xué)到不少知識(shí),而經(jīng)驗(yàn)正是今后對(duì)付新型木馬的參照之本。首先中馬網(wǎng)民要從注冊(cè)表入手,先刪除木馬創(chuàng)建的ShellExecuteHooks項(xiàng),位于注冊(cè)表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}及注冊(cè)表[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}]下的項(xiàng)目,隨后重新啟動(dòng)計(jì)算機(jī)。
     重新啟動(dòng)計(jì)算機(jī)開(kāi)始刪除木馬自身文件System6.jup和System6.ins,兩者都位于%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目錄下,最后再次進(jìn)入注冊(cè)表找到[HKEY_CURRENT_USER\Software\Tencent\Ie]將其鍵值刪除,即可全面清理掉該盜QQ木馬了。