金狐QQ大盗 atmQQ2.dll
Trojan-PSW.Win32.QQPass.ajw
文件名称:atmQQ2.dll
文件大小:37995 bytes
AV命名:
Trojan-PSW.Win32.QQPass.ajw Kaspersky
PSW.OnlineGames.SXC AVG
Trojan.PWS.Qqpass.1533 DrWeb
Trojan.PSW.Win32.QQPass.ywt Rising
中文别名:金狐QQ大盗
加壳方式:UPX
编写语言:Delphi
文件MD5:ac708c44ffdc1641bcb68273491bb8ff
病毒类型:QQ木马
行为:
1、 释放病毒文件:
C:\Program Files\Common Files\Microsoft Shared\MSInfo\atmQQ2.dll 21839 字节
2、 添加注册表,开机启动:
Registry Group: Malware
Object:
Registrykey: HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32
Registry value: (Default)
Type: REG_SZ
Value: C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll
3、 atmQQ2.dll安装全局钩子,注入所有运行中的进程。
4、 检查路径::\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
如果发现,则修改系统时间,使其失效。
5、 尝试删除文件:QQDoctor\QQDoctor.exe,防止QQ登入前查杀木马。
6、 检查QQ.exe启动,并利用Hook技术记录键盘操作盗取QQ帐号。
7、 关联系统外壳:
Path: C:\WINDOWS\system32\verclsid.exe
Information: Verify Class ID (Microsoft Corporation)
Command line:/S /C {D544C22D-1F70-4B1E-873D-D8DABEB26695}
/I {00000000-0000-0000-C000-000000000046} /X 0x401
8、释放一个批处理,删除载体。
解决方法:
1、 下载SREng,后断开网络,关闭不需要进程。
2、 删除启动项:
{D544C22D-1F70-4B1E-873D-D8DABEB26695}
3、 重启计算机,删除文件:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll
其他:
修改正确的系统时间,重装QQ医生。
您的位置: