前言:
这是我去年的心得,在打开以前收集的资料中,发现了那次让我心痛的夜晚。最近OICQ也用得少,也不知道现在是否还有这种木马,现在发表出来,希望对骑上了木马的人能尽快下马:)
1、打开注册表,删除以下键值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NetConfig"="C:\\WINNT\\System32\\SPOLSV.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SQ]
"LastConfigInformation"="NetConfig"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Winin"="C:\\WINNT\\Winin.exe"
2、删除以下文件:
%WinDir%\WinIn.Exe -- 具有生育功能,以下两文件是它的子女。:-)
%WinDir%\System32\SPOLSV.EXE
%WinDir%\System32\SPOLSV.DLL
3、文件分析:
(1)、WinIn.Exe,由注册表内容得知,在系统启动完成后,它必将运行一次,它的主要任务就是:检测SPOLSV.EXE及SPOLSV.DLL是否存在。如果不存在,则马上重新分娩,呵呵:-)
(2)、SPOLSV.DLL,使用“快速查看”可知,它导出两个函数,分别是StartHook和EndHook。对于其函数的作用,我想不必多说。
(3)、SPOLSV.EXE,我想这个文件,不过充其量----做些小偷小摸的事情。
4、评论:
(1)、该病毒通过电子邮件形式传播。一打开邮件,附件自动下载。
(2)、该病毒有严重Bug,在Windows NT4.0下运行,会自露马脚,弹出错误对话框。其标题为ShareQQ什么的。至于在Win9x下是否有此现象,本人不得而知。
有任何疑问均可到我的主页上给我留言http://CoolSlob.fykj.com/
