对qq自动传文件病毒逆向后的一点成果

简介:
作者: ruder
page: [url]http://ruder.cdut.net[/url]
mail:cocoruder@163.com

不清楚叫什么病毒名,只知道很是厉害,会自动向你的好友发文件。前面一大堆状态判断长的不行了,代码就不帖了,不过还是学到了很多东西,来点实际的:)

*手动删除病毒*
1.查找进程rundll32.exe k掉
2.如果有 .exe(注意是一个特殊字符不是空格)进程,k掉
3.定位[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]
改默认键值为 "notepad %1" (注意前面没有那个类似于空格的特殊字符)
4.定位[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
改默认键值为 "%1" %*     (注意前面没有那个类似于空格的特殊字符)
5.定位[HKEY_LOCAL_MACHINE\SOFTWARE\TENCENT\QQ]
得到你的qq目录,再转到你的qq目录下

可发现 有两个文件 
TIMPlatform.exe
TIMP1atform.exe (注意是1不是L)
删除TIMPlatform.exe(病毒,为winrar图标),把TIMP1atform.exe改名为TIMPlatform.exe
6.病毒文件删除,下面是要删除的病毒文件(都为winrar图标),假设windows目录为c:\winnt
c:\winnt\system\rundll32.exe
c:\winnt\system32\?.exe
c:\winnt\system32\notepad?.exe

*为你的系统打上此病毒"补丁"*
打此补丁后以后不会再中此病毒

定位注册表项(没有则新建)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSipv

添加一键值
MainVer 类型为REG_DWORD,值为ffffffff(16进制)
病毒启动判断状态参数完毕后会查询此值,如当前版本值比它小则会弹出个对话框就退出。

我得到的病毒版本值为505

















本文转自loveme2351CTO博客,原文链接:http://blog.51cto.com/loveme23/8562 ,如需转载请自行联系原作者










相关文章
|
云安全 开发框架 人工智能
两个下载恶意程序文件的政府网站换花样了
两个下载恶意程序文件的政府网站换花样了
|
3月前
|
安全 JavaScript 前端开发
某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
|
Web App开发 Rust 安全
解雇拒绝打开摄像头员工被罚 51 万;推送损坏的更新,导致数千网站瘫痪;PHP 存在不受控制的递归漏洞|思否周刊
解雇拒绝打开摄像头员工被罚 51 万;推送损坏的更新,导致数千网站瘫痪;PHP 存在不受控制的递归漏洞|思否周刊
145 0
|
安全 前端开发 PHP
七夕咱一起验证漏洞✨ IIS7/7.5对文件名畸形解析导致远程代码执行❤️
七夕咱一起验证漏洞✨ IIS7/7.5对文件名畸形解析导致远程代码执行❤️
357 0
七夕咱一起验证漏洞✨ IIS7/7.5对文件名畸形解析导致远程代码执行❤️
|
机器学习/深度学习 安全 网络安全
|
安全 Shell 数据安全/隐私保护
|
安全 JavaScript 前端开发
又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析
本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析,早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文件的漏洞攻击的研究分析,其中一次属于零日漏洞攻击。
1750 0