科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道qq盗号木马SysAuto.exe的分析

qq盗号木马SysAuto.exe的分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近接到很多人报告说,在其E盘下面出现SysAuto.exe的情况 并且删除后重启又有。今天拿到了样本,这是一个qq盗号木马。
  • 评论
  • 分享微博
  • 分享邮件

最近接到很多人报告说 在其E盘下面出现SysAuto.exe的情况 并且删除后重启又有
今天拿到了样本 这是一个QQ盗号木马

File: SysAuto.exe
Size: 30821 bytes
MD5: 06A8E6053BE98D14F35A93CDC6F9A7CF
SHA1: 8C8BD8A4D27A5398DAB59E69D1CD5B7F9DDF9A0B
CRC32: E9103F5F

生成物:
C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
E 盘下生成一个AutoRun.Inf和一个SysAuto.exe

System64.Sys插入Explorer进程 通过FindWindowsExA函数查找 QQ登陆窗口
System64.Jmp其实就是那个SysAuto.exe 用于不断向E盘复制SysAuto.exe

增加HKLM\SOFTWARE\Classes\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}\ InProcServer32\: "C:\Program Files\Internet Explorer\PLUGINS\System64.Sys" 达到开机启动目的

sreng日志可见
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]
      <{754FB7D8-B8FE-4810-B363-A788CD060F1F}>    []
清除办法:(此病毒只是最近众多木马中其中一个,一般中此毒者的机器中会同时存在其他一些木马,请根据自身情况查找其他木马和病毒)
1.打开sreng
启动项目    注册表 删除如下项目
      <{754FB7D8-B8FE-4810-B363-A788CD060F1F}>    []

重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
右键点击 右键菜单中的第二个“打开” 打开E盘删除AutoRun.Inf和一个SysAuto.exe
删除C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
即可

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章