ÒòΪĿǰûÓÐʱ¼ä¿ÉÒÔ¹ÜÀíÆÀÂÛ£¬ËùÒÔÔÝÍ£ÆÀÂÛ¹¦ÄÜ£¡2009.12.19
¡¤Ò©µ½²¡³ý ²éɱ¼¸ÖÖQQÁ÷Ðв¡¶¾µÄ·½·¨£¨2£©
¡°¶à¶àQQ±íÇ顱ÊÇÒ»¸öÁ÷Ã¥Èí¼þ£¬´ó¶àÓëÆäËüÈí¼þ½øÐÐÀ¦°ó°²×°¡£Ò»µ©°²×°ÉÏ¡°¶à¶àQQ±íÇ顱ºó£¬Æä°üº¬µÄ¡°Update¡±Îļþ»á´´½¨¡°Updata.exe¡±½ø³Ì£¬²¢¶Ôϵͳ×÷һϵÁиĶ¯£¬Éú³É´óÁ¿¶ñÒâÎļþ¡£IEä¯ÀÀÆ÷Ö÷Ò³»á±»´Û¸Ä£¬Ê¹ÓÃ×Ô´øµÄжÔسÌÐòÎÞ·¨½«ËüжÔظɾ»¡£
½â¾ö°ì·¨£ºÒªÏëÊÖ¶¯½«¡°¶à¶àQQ±íÇ顱Çå³ý¸É¾»£¬ÏÈ´ò¿ª¡°ÔËÐС±¶Ô»°¿ò£¬ÊäÈë¡°%ProgramFiles%\qqhelper\uninstall.exe¡±£¬µã»÷¡°È·¶¨¡±°´Å¥Ð¶ÔØ¡°¶à¶àQQ±íÇ顱³ÌÐò¡£ ½Ó×Å´ò¿ª¡°ÈÎÎñ¹ÜÀíÆ÷/½ø³Ì¡±´°¿Ú£¬½áÊø¡°diskman.exe¡±½ø³Ì¡£È»ºóÔÙ´ò¿ª¡°ÔËÐС±¶Ô»°¿ò£¬ÊäÈë¡°services.msc¡±£¬µã»÷¡°È·¶¨¡±°´Å¥ºó´ò¿ª¡°·þÎñ¡±´°¿Ú£¬ÕÒµ½¡°Universal Disk Manager¡±·þÎñ£¬½«ÆäÉèÖÃΪ½ûÖ¹¡£ÔÙ½«¡°C:\Program Files\Common Files\SAN¡±Îļþ¼ÐºÍ¡°C:\Program Files\Common Files\Upd¡±Îļþ¼Ðɾ³ý¡£
½Ó×Å´ò¿ª¡°×¢²á±í±à¼Æ÷¡±´°¿Ú£¬ÔÚ×ó²à´°¸ñÒÀ´Îµã»÷¡°HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run¡±ÏÔÚÓÒ²àÕÒµ½¡°Update"="%ProgramFiles%\Common Files\Upd\update.exe¡±¼üÖµ£¬½«Æäɾ³ý¡£
È»ºóÔÚ×ÀÃæÓÃÓÒ¼üµ¥»÷¡°ÎҵĵçÄÔ/ÊôÐÔ/Ó²¼þ/É豸¹ÜÀíÆ÷/²é¿´/Ñ¡ÖС°ÏÔʾÒþ²ØµÄÉ豸¡±Ñ¡Ï½Ó×ÅÔÚÉ豸ÁбíÖÐÕ¹¿ª¡°·Ç¼´²å¼´ÓÃÇý¶¯³ÌÐò¡±Ñ¡ÏÕÒµ½¡°Universal Disk Manager¡±£¬ÓÒ¼üÑ¡Ôñ¡°Ð¶ÔØ¡±¡£
×îºóÔÙ´ò¿ª¡°×¢²á±í±à¼Æ÷¡±´°¿Ú£¬ÔÚ×ó²à´°¸ñÖÐÒÀ´Îµã»÷¡°HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services¡±ÏÕÒµ½¡°Universal Disk Manager¡±¼üÖµ£¬½«Æäɾ³ý£¬²¢µã»÷¡°HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root¡±Ïɾ³ý ¡°LEGACY_Universal Disk Manager¡±¼´¿É¡£
ɱÃðQQÀÖ²¡¶¾
¡°QQÀÖ¡±²¡¶¾£¨Worm/QQMsg.Lee£©»á×Ô¶¯ËÑË÷QQÓû§ÖеĺÃÓÑ£¬²»¶ÏÏòËûÃÇ·¢ËÍ°üº¬Ò»´®ÍøÖ·µÄÏûÏ¢¡£ºÃÓÑÔÚµã»÷ÍøÖ·Á´½ÓµÇ½ÍøÕ¾ºó£¬¾ÍÓпÉÄÜ»á¸ÐȾ¸Ã²¡¶¾¡£
½â¾ö°ì·¨£º¡°QQÀÖ¡±²¡¶¾»á´´½¨¡°System32.exe¡±½ø³ÌºÍÒ»¸öÃûΪ¡°Lee¡±µÄ¹ÜÀíÔ±ÕÊ»§¡£»áÔÚÿ¸ö·ÖÇø¸ùĿ¼Ï´´½¨¡°Autorun.inf¡±ÎļþºÍ¡°System32.exe¡±¡¢¡°System32dll.dll¡±Îļþ¡£ÓÉÓÚ¡°Autorun.inf¡±ÊÇ×ÔÔËÐÐÎļþ£¨³£ÓÃÓÚ×ÔÆô¶¯¹âÅÌ£©£¬ÕâÑùÔÚË«»÷ÈÎÒâ·ÖÇøÅÌ·ûʱ¾Í»áʹϵͳ×Ô¶¯Ö´Ðиá°Autorun.inf¡±ÎļþµÄÃüÁÒÔ´ïµ½ÔËÐС°System32.exe¡±¡°System32dll.dll¡±²¡¶¾ÎļþµÄÄ¿µÄ¡£½Ó×ÅÓÃËÑË÷²éÕÒ¡°Lee¡±¹Ø¼ü×Ö£¬»áÕÒµ½Ò»¸ö´´½¨¹ÜÀíÔ±ÕË»§µÄÅú´¦ÀíÎļþ¡°Admin.bat¡±¡£×îºó½«Ã¿¸ö·ÖÇø¸ùĿ¼Ïµġ°Autorun.inf¡±¡¢¡°System32.exe¡±ºÍ¡°System32dll.dll¡±Îļþɾ³ý£¬ÔÙ½«ËÑË÷µ½µÄ¡°Admin.bat¡±Îļþɾ³ý¼´¿É¡£
QQ¹ê²¡¶¾£¨Trojan/QQMsg,Zigui.b£©µÄ²éɱ
Ò»µ©¸ÐȾÁË¡°QQ¹ê²¡¶¾¡±£¬ÄãµÄµçÄÔ±ã»á³öÏÖÕâÑùµÄÖ¢×´£º×Ô¶¯¸øQQºÃÓÑ·¢ËÍÎļþ£¬¶øÇÒÎļþÃûΪ¡°¡¡°×¹Ç¾«¡¡¡±¡¢¡°Ò»¸ö¶ÔÄ㹤×÷ÓÐÒæµÄ¶«Î÷¡±µÈµÈ¡£¸Ã²¡¶¾±»½ðɽ¶¾°ÔÍøÕ¾ÉÏÅÅÁÐÔÚ2005ÄêÊ®´ó²¡¶¾Ö®µÚËÄλ¡£
½â¾ö°ì·¨£º´ò¿ªÈÎÎñ¹ÜÀíÆ÷£¬½áÊøµôRUNDLL32.EXEºÍTIMP1atform.exe£¨×¢ÒâPºóÃæÊÇÊý×Ö1£©½ø³Ì¡£
ÉèÖÃÈÃWindowsÏÔʾÒþ²ØÎļþ£¬ÕÒµ½ÒÔÏÂÎļþ²¢ÇÒ½«Æäɾ³ý£º%System%\?.exe
%System%\notepad?.exeºÍ%Windir%\System\RUNDLL32.EXE£»»¹ÒªÉ¾³ýQQĿ¼ÖеÄTIMP1atform.exe£¨PºóÃæÊÇÊý×Ö1£¬±ðɾ´íÁË£©¡£
´ò¿ª×¢²á±í±à¼Æ÷¡£É¾³ý¡°HKEY_LOCAL_MACHINE\Software\Classes\Msipv¡±ºÍ¡°HKEY_CURRENT_USER\Software\Classes\Msipv¡±Ïµġ°MainSetup¡±¡¢¡°MainUp¡±¡¢¡°MainVer¡±Èý¸öDWORD¼üÖµ¡£
×îºóͨ¹ýÐÞ¸´EXEºÍTXTÎļþ¹ØÁª£¬ÖØÐÂÆô¶¯¼´¿É¡£
ÒÔÉÏ̸µ½µÄ½â¾ö·½·¨¶¼ÊÇÒÔÊÖ¹¤Çå³ýΪÖ÷£¬ÆäʵĿǰºÜ¶àɱ¶¾Èí¼þ¾Í¿ÉÒÔ×Ô¶¯Ê¶±ðºÜ¶àQQ²¡¶¾£¬½¨ÒéÔÚQQ³öÏÖÎÊÌâʱ£¬ÏÈÉý¼¶É±¶¾Èí¼þ½øÐвéɱ£¬¿´ÎÊÌâÊÇ·ñ½â¾ö£¬ÔÙÓÃÊÖ¹¤Çå³ýµÄ°ì·¨£¬±ÜÃâÓÉÓÚÊÖ¹¤²Ù×÷²»µ±´øÀ´µÄÎÊÌâ¡£
======È«ÇòÃâ·ÑÖÐÐÄ°æȨÉùÃ÷(±¾Õ¾´Ó09-4-29¿ªÊ¼¼ÓÇ¿Ãâ·Ñ×ÊÔ´°æȨ¹ÜÀí)=========
²»¹Ü³öÓÚºÎÄ¿µÄתÔر¾ÎÄ£¬Çë×¢Ã÷°æȨÐÅÏ¢(°üÀ¨À´Ô´ºÍ×÷Õß)£¬·ñÔòÒ»¾·¢ÏÖ½«Öð¸ö´¦Àí¡£
Èô±¾Õ¾×ªÁËÄúµÄÐÅÏ¢¶øδ±êÃ÷»ò±ê´í»òδÕÒµ½³ö´¦¶øû±êÃ÷µÄ£¬ÇëÁªÏµÎÒÃÇ£¬2ÌìÄÚ´¦Àí¡£
ÒòΪĿǰûÓÐʱ¼ä¿ÉÒÔ¹ÜÀíÆÀÂÛ£¬ËùÒÔÔÝÍ£ÆÀÂÛ¹¦ÄÜ£¡2009.12.19