文件名稱:gdiplus.exe
文件大小:57899 字節
病毒命名:
BitDefender - - Gen:Trojan.Heur.3065153434
DrWeb - - BACKDOOR.Trojan
McAfee+Artemis - - Generic!Artemis
加殼方式:ASPack
編寫語言:VB
文件MD5:8a9e141947d940a08b44c58537323ec4
病毒類型:流氓程序
1、釋放文件:
C:\WINDOWS\system32\gdiplus.exe 57899 字節
2、查找註冊表SOFTWARE\Tencent\QQ,獲得當前QQ的完整路徑,保存爲:
C:\WINDOWS\system32\Macromed\Flash\FlashPlayerTrust\下
3、在QQ目錄下生成隱藏文件:
Program Files\Tencent\QQ\Wsock32.dll 53248 字節
Program Files\Tencent\QQ\syswsock32.dll 28,672 字節(系統文件)
實現無啓動項啓動
4、當運行QQ時,位於Tencent\QQ\Wsock32.dll由於目錄優先性,代替系統文件被加載。
隨後啓動病毒C:\WINDOWS\system32\gdiplus.exe
最後再注入syswsock32.dll
5、病毒運行後在任務管理器可見,訪問網絡221.1.74.165
更新釣魚面板信息:
0~1,0,0,1,0~5,0,6~0,0,0~恭喜!您的QQ號碼已成功被RGB(255,0,0)後臺系統隨機抽選爲當日在RGB(255,0,0)線“二等獎”用戶,請您及時RGB(255,0,0)領取您的獎項.驗證碼[1686]RGB(255,0,0)^[url]http://tenglong101.cn/tupian/qq2.bmp[/url]^[url]http://www.qqsvm.cn/~[/url]^~~系統廣播:RGB(0,0,0)慶祝騰訊QQ 10週歲感謝廣大用戶的支持!公司將邀請RGB(0,0,0)到贊助商三星(公司)在線舉辦“十週年慶典挖寶活動”RGB(0,0,0)恭喜!您已被抽選成爲《二等獎》幸運用戶驗證碼:1686RGB(0,0,255) 此次活動最終解釋權歸深圳騰訊公司所有RGB(0,0,0)^[url]http://www.qqsvm.cn/~~1001~[/url]十週年慶典挖寶活動~0
6、開始彈廣告....
(拜託..還沒登入就開始彈...留點回憶好不好)
點擊進入後發現是個釣魚網,
大概內容是恭喜您獲得XX獎(反正聽起來是個很牛逼獎項...),,
然後請您匯款XX元到XX處給這個病毒作者湊棺材費.... - -!
最煩人的就是這個gdiplus.exe處於活動狀態的時候會不時跳出這個面板
關都關的煩厭
其實清除起來也不難:
1、懶點的就重裝下QQ,記得別放在以前安裝QQ的那個盤。
重啓後解決(PS:舊的QQ快捷方式要先刪掉)
2、刪除文件:C:\WINDOWS\system32\gdiplus.exe
重啓後世界清淨....
3、完整刪除:
(1)暫時關閉QQ(開幾個關幾個),打開任務管理器,結束進程gdiplus.exe
(2)打開任意文件夾,選擇“工具-文件夾選項”,勾選“顯示所有文件和文件夾”,取消“隱藏受系統保護的文件”
(3)現在病毒就無處遁形了,刪除文件:
C:\WINDOWS\system32\gdiplus.exe
QQ目錄下的:
Program Files\Tencent\QQ\Wsock32.dll
Program Files\Tencent\QQ\syswsock32.dll
重啓計算機,問題解決...
PS:如上述方法無法清除,麻煩把gdiplus.exe用Winrar壓縮發送到