网上找到一个QQ木马样本wmimgrnt.exe（文件名模仿wmimgmt.msc）。卡巴斯基今天早上的病毒库依然不报毒。

这个木马感染系统后有以下特点：

1、在%system%下释放木马文件wmimgrnt.exe和d_44154.nls。
2、在QQ安装目录C:\Program Files\Tencent\QQ\下释放Timcp.exe。
3、替换QQ安装目录C:\Program Files\Tencent\QQ\中的TIMPlatform.exe和QQexternal.exe（见图1）。
4、在C:\WINDOWS\Debug\UserMode\文件夹中创建userenv.log，记录被感染用户的信息。
注册表改动：
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\分支添加WMI Manager For NT。

由于TIMPlatform.exe和QQexternal.exe已被替换为木马程序，如果QQ随系统启动加载，在WINDOW模式下，此马是杀不净的。这可能是有些被感染的用户杀不掉此马的一个原因。


手工查杀方法：
1、结束木马进程wmimgrnt.exe。关闭QQ。
2、删除木马文件（见图2）。
3、删除木马添加的注册表内容。
4、卸载并重新安装QQ。（观察木马感染时，我用了TPF的Tracking跟踪感染过程。最后用Track'nReverse恢复被木马替换的TIMPlatform.exe和QQexternal.exe就OK了。）

不会手工杀毒者，请在安全模式下用杀软杀毒（只要你的杀软能杀它）。


图1

图2