关于电脑病毒 NewTemp.dll NewTemp.bak PegeFile.pif的详细介绍

关于电脑病毒 NewTemp.dll NewTemp.bak PegeFile.pif的详细介绍

病毒名称:Trojan-PSW.Win32.Nilage.blg [exe](Kaspersky), Trojan-PSW.Win32.Delf.wh [dll](Kaspersky)
病毒别名:PWS-QQPass [exe](McAfee), PWS-QQPass.dll [dll](McAfee)
Worm.Win32.Agent.ime(瑞星)
Win32.Troj.AutoPage.a.81920 [exe](毒霸), Win32.Troj.QQpass.q.17444 [dll](毒霸)
病毒大小:15,671 字节
加壳方式:PE_Patch NSPack
样本MD5:4e6b49a4bdb1caecc0fa2b69ec81f998
样本SHA1:c4881275f29fd403009855afdad05a6163010a2c
发现时间:2007.7
更新时间:2007.7.25
关联病毒:
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

木马运行后将自身复制到:
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.bak
释放dll注入进程:
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.dll
当有变种存在时创建:
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.bkk

创建ShellExecuteHooks启动信息:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""

[HKEY_CLASSES_ROOTCLSID{0EA66AD2-CF26-2E23-532B-B292E22F3266}InProcServer32]
@="%ProgramFiles%Internet ExplorerPLUGINSNewTemp.dll"
在各分区根目录创建自身副本PegeFile.pif,并创建autorun.inf:


[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shellAutocommand=PegeFile.pif
shell=Auto
尝试访问网络下载其它病毒、木马或恶意程序保存到%temp%目录下并运行。


清除步骤
==========

1. 删除病毒创建的ShellExecuteHooks项(到down.45it.com下载IceSword120_cn.zip依次删除):


[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=""

[HKEY_CLASSES_ROOTCLSID{0EA66AD2-CF26-2E23-532B-B292E22F3266}]
2. 重新启动计算机

3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.dll
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.bak
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.bkk(可能存在)

4. 通过资源管理器文件夹树形目录进入分区根目录,删除文件:
X:PegeFile.pif
X:autorun.inf


PS:

另一变种,技术分析和清除步骤同上。

病毒名称:Trojan-PSW.Win32.Delf.wh(Kaspersky)
病毒别名:PWS-QQPass.dll(McAfee)
Worm.Win32.Agent.imh [exe](瑞星), Worm.Win32.Agent.img [dll](瑞星)
Win32.PSWTroj.Delf.wh.22065 [exe](毒霸), Win32.PSWTroj.OnLineGames.53290 [dll](毒霸)
病毒大小:16,942 字节
加壳方式:PE_Patch.UPX UPX
样本MD5:3b6dd64706f7986842dcedce68afe1d5
样本SHA1:6c525669a5ef6c598dd061cade19a406aa2decac
发现时间:2007.7
更新时间:2007.7.27
传播方式:通过恶意网页传播、其它木马下载