在新年前的最后一周(2003-01-24),一个叫QQ杀手6.75的新木马来到了天天,并于2003-02-10升级为6.8版。天天在提供下载的同时,也对大家发出了“由于其隐蔽性,将不容易卸载,不推荐使用。”的警告。但最近还是有网友误中了这个木马,而且常规的方法无法彻底删除它(本版上就有我们讨论的贴子呀)。瑞星15.21版(2003-02-06更新)尚无法查出此病毒。不甘心之余,今天花了一天的时间,尝试了一下:
该木马的目标:
盗取服务器名、e-mail地址及口令、邮件标题、Password文件、SMTP ID及用户名(不像它的名字宣称的只是盗取QQ密码呀);自动检测并终止防病毒软件的进程(如:kav9x.exe、kavsvc9x.exe、kavsvcui.exe、ravmon.exe、smenu.exe以及watcher.exe等);
中毒时的症状:
当前进程中多出ESPLORER.EXE;
防病毒软件实时监控被莫名其妙地关闭并且无法重新打开;
各文件夹中出现随机文件名的*.exe文件,而且删除了还会再产生(文件大小一般在136k左右);
注册表中被新建的键值:
HKEY_CLASSES_ROOT\ win675 "youxiang_mima"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "fasong_youxiang"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "fasong_zhuti"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "fuwuqi"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "mima_wenjian"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "smtp_biaozhi"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "yonghu_ming"
注册表中被修改的键值:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run “Esplorer.exe”或随机文件名
HKEY_CLASSES_ROOT\ chm.file\ shell\ open\ command "(默认)" 随机文件名”" %1
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command "(默认)" 随机文件名”"%1" %*
HKEY_CLASSES_ROOT\ inifile\ shell\ open\ command "(默认)" 随机文件名” %1
HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command "(默认)" “随机文件名” "%1"
HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command "(默认)" 随机文件名” %1" /S
HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command "(默认)" 随机文件名” %1
可见,所有*.chm,*.exe, *.ini, *.reg, *.scr, *.txt文件皆被关联。如果用户删除了那些随机文件名的病毒拷贝,则上述相映类型的文件将无法正常打开!
手动删除的方法:
终止ESPOLRER.EXE进程;
将regedit.exe复制或改名为regedit.com,并运行regedit.com(因为*.exe文件已经被关联了,直接运行regedit.exe会使病毒重新加载。)
删除注册表中的下列项:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ ESPLORER 或随机文件名
HKEY_CLASSES_ROOT\ win675主键
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\ win675主键
修改下列键值如下:
HKEY_CLASSES_ROOT\ chm.file\ shell\ open\ command "(默认)" "%windir%\hh.exe" %1
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command "(默认)" "%1" %*
HKEY_CLASSES_ROOT\ inifile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command "(默认)" regedit.exe "%1"
HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command "(默认)" "%1" /S
HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1
重新启动,然后删除(建议先在软盘上备份,以免误删除)各文件夹内修改时间在2003-01-01至2003-12-31间的所有大小为136k左右带有随机文件名的.exe文件。