[安全防御]针对近期“我的相册.rar”病毒横行解答

选择字号：超大标准技术小哥发布于2014年03月14日属于其他分享栏目 0个评论 3596人浏览

针对近期大量客户出现电脑断网频繁断网，QQ号码被盗！桌面不停刷新，闪烁不停！不断收到QQ好友离线发送一个为我的相册的压缩包文件，提醒广大网友，针对好友，以及陌生人利用QQ发送的压缩包文件，应该谨慎接收！如有异地提示，应该立即拒绝！温馨提醒：一般相片格式为jpg bmp png gif等，如果发现压缩包内为exe拓展名的，应该立即删除！以下是中毒后的相片以及详细情况！　1、打开网页，只要涉及杀毒软件方面的词语，全部自动关闭，自动卸载机器已安装杀毒软件。2、桌面多出3个网站图标，无法正常删除，在任务管理器中，强行结束这三个iexplore.exe，依然无用。会多出一个kele.exe进程，无法删除，强行结束进程，会以另外一个名称.EXE出现。3、重新启动，自动启动可乐吧，视频吧等软件登陆界面。正常卸载无用。4、尝试用Firefox登陆，利用网站自动关闭中间的几秒，下载了一个清理软件，在装载过程中，自动强行退出，试过几次，么得办法，放弃！5、尝试进入安全模式杀毒，直接蓝屏！6、自此再正常登陆系统，发现显卡驱动被破坏，系统自带恢复和ghost一键恢复皆被破坏！1 usp10.dll被破坏（原始文件已经被病毒替换，同时正常的usp10被重命名为cybkus10.dll）
2 电脑中发现文件systemdebug.exe，lqcyc52.cyc
3 进程中发现systemdebug.exe进程，同时QQ进程突然退出重启
4 好友突然收到我的照片.zip 我的照片.rar 我的最新照片.zip 我的最新照片.rar等文件，解压以后发现我的照片..exe 我的最新照片.exe。运行以后系统卡，有程序崩溃，同时若干分钟以后出现一张美女图片
5 桌面QQ快捷方式指向的文件过大1M以上，同时正常的QQ程序大小140kb左右（属性为隐藏）
6 ie主页被修改为http://www.dh008.com/?TJ-98，桌面出现改变你的一生，免费电影c，淘宝购物A之类的垃圾图标等
对“我的照片.Exe”病毒文件分析：

文件加壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

开发语言：Borland Delphi 6.0 - 7.0脱壳入口：00005348

病毒名称：Trojan/PSW.QQPass（English）

病毒名称：QQ大盗（中文）

病毒类型：木马脱壳前文件大小为：32,955 字节脱壳后文件大小为：113,152 字节

双击E盘启动木马：e:\autorun.inf->创建磁盘映像劫持文件。e:\sysauto.exe->木马自我复制到这里。

注册表启动项：software\microsoft\windows\currentversion\explorer\shellexecutehooks clsid\{f81f75c9-f974-4772-b72d-f28cbcd98c5f}木马所释放文件（C盘为系统盘）：

C:\Program Files\Internet Explorer\PLUGINS\SysWin7z.Jmp

C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Sys

C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Tao WinSys8z.Sys为DLL文件，插入到被感染计算机系统所有用户级权限的进程中加载运行。获取其它恶意病毒下载地址列表： http://www.ahwlqa.com/12345.txt 通过向被感染计算机系统的“explorer.exe”进程中注入“恶意可执行下载功能的代码“，然后通过系统“explorer.exe”进程在后台下载列表中的所有恶意程序并调用执行。木马自动升级地址： http://www.qqkill.com/up.asp? 可能是盗取QQ号后的ASP空间收信地址：http://www.qqgameqq.com.cn/1000884/qqll.asp 该木马还具有126电子邮箱收信的功能： http://www.126.com “我的照片.Exe”木马程序执行完毕后不自我删除，因为该木马执行安装过程是在后台进行，所以双击运行感觉无任何反映。