瑞星卡卡安全论坛

本贴转自 动物园
http://www.kingzoo.com/bbs/

wmimgr.exe -- 一个QQ自动发送文件病毒

最近，新的QQ发送文件的病毒比较流行，看表现和之前那个MyRunner什么Hansoft什么的那个QQ发送文件病毒有些类似，这里就个人分析给一点说明：

相关的病毒文件：
~!KqVo4c.exe
comime.exe
DHelp.dll
msinthk.dll
QQDHelp.dll
wmimgr.exe

病毒通过QQ发送文件的方式传播，发送的文件名极具诱惑，以<文件名>.jpg.exe的形式发送，图标见附件。

病毒需要接收并运行后才会感染系统，运行后会显示一个错误对话框（见附件）。
病毒在注册表中添加一下信息，禁止用户打开“任务管理器”和“注册表编辑器”：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001

在注册表中添加标志信息：HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
还会查找瑞星和QQ的信息，据说发现瑞星会删除瑞星的文件：
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav

病毒自身复制到系统目录下，文件名为wmimgr.exe。

病毒还会修改一些系统程序文件和QQ程序文件，在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息，会被修改的系统文件有：
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
还有一些QQ程序也会被修改，比如QQGame.exe等。
注：当系统文件被修改时，系统会出现这样的对话框（见附件）。

病毒释放DHelp.dll到以下目录：
%Windows%\
%System%\
%System%\wbem\
QQ目录，如%ProgramFiles%\Tencent\QQGame\
释放QQDHelp.dll到%ProgramFiles%\Tencent\目录。

添加自启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation"="wmimgr.exe"

病毒还会从网站上下载另一个盗密码的病毒程序到系统中：
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg

复制自身到系统目录，文件名为comime.exe，释放msinthk.dll。

建立自启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"


清除步骤

首先，我们还是先把病毒的进程结束掉：
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件：
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll

病毒文件删除以后，我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置，方法很多的，如果不会操作，这里提供了一段REG注册表文件，保存为REG文件后直接双击运行后导入注册表即可恢复禁用。


CODE:[Copy to clipboard]REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-
"DisableRegistryTools"=-
接下来就可以到注册表编辑器删除病毒建立的启动项了：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"

注：HKEY_LOCAL_MACHINE\SOFTWARE\TopFox，这个位置好像是病毒建立的“标志”，该位置如果存在，貌似病毒运行后不会进行过多的“动作”，且会自动退出进程，故可以不删除。

好了，病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件，所以我们先要恢复%System%\dllcache\下的系统文件。

explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到，比如安装光盘或ServicePack保存的目录，也可以从其它相同操作系统（相同SP）中复制过来。

如果是从安装盘I386目录下找，可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件，通过expand命令可以解压缩它们，命令类似：


CODE:[Copy to clipboard]expand explorer.ex_ explorer.exe
得到正常的源文件后，我们依次进行覆盖操作。
先覆盖：
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除：
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe

QQ的话，如果方便就覆盖安装一下。

通过以上操作应该可以解决问题，以后要注意的是多多提高自己的安全防护意识和尽快掌握一些计算机基础知识，这样就能很快地分辨出像这种QQ上传来的不是什么好东西了。