找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1121|回复: 2

gdiplus.exe伪QQ中奖木马

[复制链接]

该用户从未签到

发表于 2009-5-19 08:05:14 | 显示全部楼层 |阅读模式
转载自:http://hi.baidu.com/%B9%C2%B6%C0 ... 2fd6094c088d9f.html

文件名称:gdiplus.exe
文件大小:57899 字节
病毒命名:
BitDefender - - Gen:Trojan.Heur.3065153434
DrWeb - - BACKDOOR.Trojan
McAfee+Artemis - - Generic!Artemis
加壳方式:ASPack
编写语言:VB
文件MD5:8a9e141947d940a08b44c58537323ec4
病毒类型:流氓程序

1、释放文件:
C:\WINDOWS\system32\gdiplus.exe 57899 字节
2、查找注册表SOFTWARE\Tencent\QQ,获得当前QQ的完整路径,保存为:
C:\WINDOWS\system32\Macromed\Flash\FlashPlayerTrust\下
3、在QQ目录下生成隐藏文件:
Program Files\Tencent\QQ\Wsock32.dll 53248 字节
Program Files\Tencent\QQ\syswsock32.dll 28,672 字节(系统文件)
实现无启动项启动

4、当运行QQ时,位于Tencent\QQ\Wsock32.dll由于目录优先性,代替系统文件被加载。
随后启动病毒C:\WINDOWS\system32\gdiplus.exe
最后再注入syswsock32.dll

5、病毒运行后在任务管理器可见,访问网络221.1.74.165
更新钓鱼面板信息:
0~1,0,0,1,0~5,0,6~0,0,0~恭喜!您的QQ号码已成功被RGB(255,0,0)后台系统随机抽选为当日在RGB(255,0,0)线“二等奖”用户,请您及时RGB(255,0,0)领取您的奖项.验证码[1686]RGB(255,0,0)^^http://www.qqsvm.cn/~^~~系统广播:RGB(0,0,0)庆祝腾讯QQ 10周岁感谢广大用户的支持!公司将邀请RGB(0,0,0)到赞助商三星(公司)在线举办“十周年庆典挖宝活动”RGB(0,0,0)恭喜!您已被抽选成为《二等奖》幸运用户验证码:1686RGB(0,0,255) 此次活动最终解释权归深圳腾讯公司所有RGB(0,0,0)^http://www.qqsvm.cn/~~1001~十周年庆典挖宝活动~0
6、开始弹广告....

(拜托..还没登入就开始弹...留点回忆好不好)
点击进入后发现是个钓鱼网,
大概内容是恭喜您获得XX奖(反正听起来是个很牛逼奖项...),,
然后请您汇款XX元到XX处给这个病毒作者凑棺材费.... - -!
最烦人的就是这个gdiplus.exe处于活动状态的时候会不时跳出这个面板
关都关的烦厌
其实清除起来也不难:
1、懒点的就重装下QQ,记得别放在以前安装QQ的那个盘。
重启后解决(PS:旧的QQ快捷方式要先删掉)
2、删除文件:C:\WINDOWS\system32\gdiplus.exe
重启后世界清净....
3、完整删除:
(1)暂时关闭QQ(开几个关几个),打开任务管理器,结束进程gdiplus.exe
(2)打开任意文件夹,选择“工具-文件夹选项”,勾选“显示所有文件和文件夹”,取消“隐藏受系统保护的文件”
(3)现在病毒就无处遁形了,删除文件:
C:\WINDOWS\system32\gdiplus.exe
QQ目录下的:
Program Files\Tencent\QQ\Wsock32.dll
Program Files\Tencent\QQ\syswsock32.dll
重启计算机,问题解决...

该用户从未签到

发表于 2009-5-19 09:47:33 | 显示全部楼层
绿色上网...

该用户从未签到

发表于 2009-5-19 12:19:19 | 显示全部楼层
杜绝灰色。。。。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表