网上找到一个QQ木马样本wmimgrnt.exe(文件名模仿wmimgmt.msc)。卡巴斯基今天早上的病毒库依然不报毒。
这个木马感染系统后有以下特点:
1、在%system%下释放木马文件wmimgrnt.exe和d_44154.nls。
2、在QQ安装目录C:\Program Files\Tencent\QQ\下释放Timcp.exe。
3、替换QQ安装目录C:\Program Files\Tencent\QQ\中的TIMPlatform.exe和QQexternal.exe(见图1)。
4、在C:\WINDOWS\Debug\UserMode\文件夹中创建userenv.log,记录被感染用户的信息。
注册表改动:
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\分支添加WMI Manager For NT。
由于TIMPlatform.exe和QQexternal.exe已被替换为木马程序,如果QQ随系统启动加载,在WINDOW模式下,此马是杀不净的。这可能是有些被感染的用户杀不掉此马的一个原因。
手工查杀方法:
1、结束木马进程wmimgrnt.exe。关闭QQ。
2、删除木马文件(见图2)。
3、删除木马添加的注册表内容。
4、卸载并重新安装QQ。(观察木马感染时,我用了TPF的Tracking跟踪感染过程。最后用Track'nReverse恢复被木马替换的TIMPlatform.exe和QQexternal.exe就OK了。)
不会手工杀毒者,请在安全模式下用杀软杀毒(只要你的杀软能杀它)。
图1
附件:
15584720051213104337.jpg