QQ尾巴 InfoMs.Ime 解决方案

档案编号：CISRT2007002
病毒名称：Trojan.Win32.Delf.rf（Kaspersky）
病毒别名：Trojan.QQMSG.Liumazi（瑞星）
　　　　　 Win32.Troj.QQMsgInfo.28688（毒霸）
病毒大小：27,900 字节
加壳方式：UPX
样本MD5：b95d1102bcddfa26fb9a3f40129d2353
样本SHA1：0e52cbcc5fedf47408bad58aa1f0aaf9e00eeae2
发现时间：2007.1
更新时间：2007.1
关联病毒：
传播方式：QQ消息、恶意网页、其它病毒下载


技术分析
==========

这是一个QQ尾巴木马，运行后释放dll库文件：

Code:

%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime


创建ShellExecuteHooks启动信息：



Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime"


向QQ好友发送信息：


Quote:
看了这个网站再说
http://8788.www-qq.cn


清除步骤

1. 删除木马的ShellExecuteHooks启动信息：



Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C217767F-E340-49B8-85D3-3A72B9CD652F}"=""

[HKEY_CLASSES_ROOT\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}]


2. 重新启动计算机

3. 删除木马文件：

Code:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime