档案编号：CISRT2006073

病毒名称：N/A（Kaspersky）

病毒别名：Trojan.PSW.QQPass.qta（瑞星）

病毒大小：30,816 字节

加壳方式：UPX

样本MD5：546dcf856bdf9d70087c42c5f5275e59

样本SHA1：7bea56fe50c1afe94e7faefbf77a2a7f1e4b7f67

传播方式：通过恶意网页传播、其它木马下载

技术分析：

运行后复制自身到：

%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp

在相同位置释放dll注入进程：

%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys

创建ShellExecuteHooks：

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]

@="%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""

在注册表中添加信息：

[HKEY_CURRENT_USER\Software\Ms\tnnd]

"First"="No"

清除步骤：

1、删除病毒创建的ShellExecuteHooks项：

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{6E44887F-5214-41F2-AB46-4728735C4CC6}"

2、重新启动计算机

3、删除文件：

%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp

%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys

4、删除注册表内容：

[HKEY_CURRENT_USER\Software\Ms]