qq盗号木马

qq盗号木马SysAuto.exe的分析ZDNET网络频道时间：2007-11-20作者：论坛整理|本文关键词：qq盗号木马qq盗号木马下载qq盗号木马专杀qq盗号木马程序qq盗号木马查杀最近接到很多人报告说在其E盘下面出现SysAuto.exe的情况并且删除后重启又有今天拿到了样本这是一个qq盗号木马File:SysAuto.exeSize:30821bytesMD5:06A8E6053BE98D14F35A93CDC6F9A7CFSHA1:8C8BD8A4D27A5398DAB59E69D1CD5B7F9DDF9A0BCRC32:E9103F5F生成物：C:ProgramFilesInternetExplorerPLUGINSSystem64.JmpC:ProgramFilesInternetExplorerPLUGINSSystem64.SysE盘下生成一个AutoRun.Inf和一个SysAuto.exeSystem64.Sys插入Explorer进程通过FindWindowsExA函数查找QQ登陆窗口System64.Jmp其实就是那个SysAuto.exe用于不断向E盘复制SysAuto.exe增加HKLMSOFTWAREClassesCLSID\InProcServer32:C:ProgramFilesInternetExplorerPLUGINSSystem64.Sys达到开机启动目的sreng日志可见[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks][]清除办法：（此病毒只是最近众多木马中其中一个，一般中此毒者的机器中会同时存在其他一些木马，请根据自身情况查找其他木马和病毒）1.打开sreng启动项目注册表删除如下项目[]重启计算机双击我的电脑，工具，文件夹选项，查看，单击选取显示隐藏文件或文件夹并清除隐藏受保护的操作系统文件（推荐）前面的钩。在提示确定更改时，单击“是”然后确定右键点击右键菜单中的第二个“打开”打开E盘删除AutoRun.Inf和一个SysAuto.exe删除C:ProgramFilesInternetExplorerPLUGINSSystem64.JmpC:ProgramFilesInternetExplorerPLUGINSSystem64.Sys即可