gdiplus.exe伪QQ中奖木马

文件名称：gdiplus.exe

 

文件大小：57899 字节

 

病毒命名：

 

BitDefender - - Gen:Trojan.Heur.3065153434

DrWeb - - BACKDOOR.Trojan

McAfee+Artemis - - Generic!Artemis

 

加壳方式：ASPack

 

编写语言：VB

 

文件MD5：8a9e141947d940a08b44c58537323ec4

 

病毒类型：流氓程序

 

1、释放文件：

 

C:\WINDOWS\system32\gdiplus.exe 57899 字节

 

2、查找注册表SOFTWARE\Tencent\QQ，获得当前QQ的完整路径，保存为：

 

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerTrust\下

 

3、在QQ目录下生成隐藏文件：

 

Program Files\Tencent\QQ\Wsock32.dll 53248 字节

Program Files\Tencent\QQ\syswsock32.dll 28,672 字节（系统文件）

 

实现无启动项启动

 

 

4、当运行QQ时，位于Tencent\QQ\Wsock32.dll由于目录优先性，代替系统文件被加载。

 

随后启动病毒C:\WINDOWS\system32\gdiplus.exe

 

最后再注入syswsock32.dll

 

 

5、病毒运行后在任务管理器可见，访问网络221.1.74.165

 

更新钓鱼面板信息：

 

0~1,0,0,1,0~5,0,6~0,0,0~恭喜!您的QQ号码已成功被RGB(255,0,0)后台系统随机抽选为当日在RGB(255,0,0)线“二等奖”用户,请您及时RGB(255,0,0)领取您的奖项.验证码[1686]RGB(255,0,0)^[url]http://tenglong101.cn/tupian/qq2.bmp[/url]^[url]http://www.qqsvm.cn/~[/url]^~~系统广播：RGB(0,0,0)庆祝腾讯QQ 10周岁感谢广大用户的支持!公司将邀请RGB(0,0,0)到赞助商三星(公司)在线举办“十周年庆典挖宝活动”RGB(0,0,0)恭喜!您已被抽选成为《二等奖》幸运用户验证码:1686RGB(0,0,255) 此次活动最终解释权归深圳腾讯公司所有RGB(0,0,0)^[url]http://www.qqsvm.cn/~~1001~[/url]十周年庆典挖宝活动~0

 

6、开始弹广告....

 

 

（拜托..还没登入就开始弹...留点回忆好不好）

 

点击进入后发现是个钓鱼网，

 

大概内容是恭喜您获得XX奖（反正听起来是个很牛逼奖项...），，

 

然后请您汇款XX元到XX处给这个病毒作者凑棺材费.... - -!

 

最烦人的就是这个gdiplus.exe处于活动状态的时候会不时跳出这个面板

 

关都关的烦厌

 

其实清除起来也不难：

 

1、懒点的就重装下QQ，记得别放在以前安装QQ的那个盘。

 

重启后解决（PS：旧的QQ快捷方式要先删掉）

 

2、删除文件：C:\WINDOWS\system32\gdiplus.exe

 

重启后世界清净....

 

3、完整删除：

 

（1）暂时关闭QQ（开几个关几个），打开任务管理器，结束进程gdiplus.exe

 

（2）打开任意文件夹，选择“工具-文件夹选项”，勾选“显示所有文件和文件夹”，取消“隐藏受系统保护的文件”

 

（3）现在病毒就无处遁形了，删除文件：

 

C:\WINDOWS\system32\gdiplus.exe

 

QQ目录下的：

 

Program Files\Tencent\QQ\Wsock32.dll

Program Files\Tencent\QQ\syswsock32.dll

 

重启计算机，问题解决...

 

 

PS:如上述方法无法清除，麻烦把gdiplus.exe用Winrar压缩发送到

 

[email protected] 或 [email protected]