清除木马System6.ju ystem6.i 行文

文章作者 100test 发表时间 2007:09:11 11:55:31
来源 100Test.Com百考试题网

木马永远不会放弃感染驻扎电脑的机会。不安全的系统在访问恶意网站时，将会被网页中含有的木马攻陷，即使网民不访问恶意网站，那么U盘，网络压缩包局域网依然可以成为木马的感染途径。小到个人电脑用户，大到企业网络服务器管理人员，无不对其深恶痛绝。

Trojan-PSW.Win32.Delf.zh简介
此马为盗QQ的木马，利用开启监视功能，能准确的将QQ帐号与密码发送到木马人指定接收地址，从而使得盗取者获得信息并登陆。

病毒名称： Trojan-PSW.Win32.Delf.zh（Kaspersky）

病毒别名： PWS-QQPass.dll [dll]（McAfee）

Generic PWS.y [exe]（McAfee）

Trojan.PSW.Win32.Agent.vde [exe]（瑞星）

Trojan.PSW.Win32.Agent.vdd [dll]（瑞星）

Win32.PSWTroj.Delf.zf.26424 [dll]（毒霸）

Win32.PSWTroj.Delf.zh.86577 [exe]（毒霸）

病毒大小： 22,065 字节

传播方式： 通过恶意网页传播、其它木马下载

此木马可以产生很多变种如：system.jmp system.sys、system.jmp system16.sys、NewInfo.bmt system.2dt等，都直接威胁QQ使用者安全。

木马分析
该木马感染计算机后，首先将自身病毒源文件复制到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目录下，生存System6.jup文件，随后释放DLL注放进程到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\下，文件名为System6.ins，此时木马首要任务完成，开始写入注册表。

在注册表中木马首先会在分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下加入启动信息{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}"="及[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}\InProcServer32]下的@=%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\System6.ins信息，随后添加注册表[HKEY_CURRENT_USER\Software\Tencent\Ie]键值"First"。

最后木马将自动连接网络相关地址，下载其它第三型病毒、木马或恶意程序到计算机临时目录（TEMP）中，进一步感染计算机，让其成为木马病毒大本营。

清除方法
木马显然很令人讨厌，但网民却可以从清除中学到不少知识，而经验正是今后对付新型木马的参照之本。首先中马网民要从注册表入手，先删除木马创建的ShellExecuteHooks项，位于注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}及注册表[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}]下的项目，随后重新启动计算机。

重新启动计算机开始删除木马自身文件System6.jup和System6.ins，两者都位于%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目录下，最后再次进入注册表找到[HKEY_CURRENT_USER\Software\Tencent\Ie]将其键值删除，即可全面清理掉该盗QQ木马了。