非常流氓的QQ木馬winhook.sys

 [轉載]盜Q木馬 WinHook.jmp WinHook.sys 解決方案

病毒名稱：Trojan-PSW.Win32.Lineage.aab（Kaspersky）
病毒別名：Trojan.PSW.Lineage.leo（瑞星）
　　　　　 Win32.Troj.PSWLmir.ab.23020（毒霸 WinHook.jmp）
　　　　　 Win32.Troj.QQHooker.fr.31645（毒霸 WinHook.sys）
病毒大小：WinHook.jmp:23,020 位元組
　　　　　 WinHook.sys:31,515 位元組
加殼方式：WinHook.jmp:FSG
樣本MD5：WinHook.jmp:c3765a17272a5cc9815ef84af59b7b2a
　　　　　 WinHook.sys:cc0024d0ce18b5154701d30d5a74810a
發現時間：2006.08
更新時間：2006.08
關聯病毒：
傳播方式：通過惡意網站傳播，通過其它病毒/木馬下載

技術分析
==========

這是一個盜Q木馬，主程式是WinHook.jmp，其實是個exe，運行後複製自身到%ProgramFiles%/Internet Explorer/WinHook.jmp，並釋放WinHook.sys，建立ShellExecuteHooks：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{EFAE7B4A-FA39-4818-ACAC-6B6D851CEFF4}"=""

[HKEY_CLASSES_ROOT/CLSID/{EFAE7B4A-FA39-4818-ACAC-6B6D851CEFF4}/InProcServer32]
@="%ProgramFiles%/Internet Explorer/WinHook.sys"
添加註冊表資訊：

[HKEY_CURRENT_USER/Software/Ms/QQHooker6]
嘗試訪問網路下載其它網遊木馬到臨時目錄%temp%中，並在%Windows%/Temp/目錄裡產生IME*.tmp檔案（這些是文字檔，內容是下載木馬的資訊，*為十六進位遞增）。
下載的木馬解決方案可見：CISRT2006026、CISRT2006027、CISRT2006028

清除步驟
==========

1. 刪除病毒建立的ShellExecuteHooks：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{EFAE7B4A-FA39-4818-ACAC-6B6D851CEFF4}"=""

[HKEY_CLASSES_ROOT/CLSID/{EFAE7B4A-FA39-4818-ACAC-6B6D851CEFF4}/InProcServer32]
@="%ProgramFiles%/Internet Explorer/WinHook.sys"
2. 重新啟動電腦

3. 刪除病毒檔案：
%ProgramFiles%/Internet Explorer/WinHook.jmp
%ProgramFiles%/Internet Explorer/WinHook.sys

4. 刪除病毒添加的註冊表資訊：

[HKEY_CURRENT_USER/Software/Ms/QQHooker6]