一款挂靠QQ的盗号木马清理记

由于电脑配置不高，开了杀毒软件后比较卡。

就关了杀毒软件，然后浏览了几个网站，突然，硬盘狂闪，ie出错退出。查看任务管理器，发现不明进程出现。很快，不明进程又消失了。

当时一个感觉就是，中标了。浏览器漏洞多多，这不，木马就进来了。

想打开金山清理专家，看看explorer的模块列表。结果，清理专家提示XXX.dll丢失，打不开了。还好E盘还有个安装程序，再安装金山清理专家，安装程序一闪就消失，试了两次，结果，安装文件被木马直接给删了。

这样不行，那我上金山网站再下一个，然后去安全模式下处理，结果，输入金山网址就转移到yahoo上去，真是可恶，十有八九hosts文件被修改了。改回来，下载，重启，安全模式蓝屏，安全模式已经被破坏。

重启，进入正常模式，打开cmd。用tasklist 命令显示全部加载的模块，看的眼花。 忽然想起还有一款process viewer的工具，打开，列出explorer的模块，果然发现3个随机字母组合命名的dll。

用任务管理器关闭全部程序，包括explorer 。

然后在cmd下用del命令删除这几个文件。再清理调注册表里下相应项，再清空ie缓存。

看看模块列表，没了。自以为已经解决。

谁知，一启动qq，木马又复活了，三个dll一个不少的又出现了。

查看qq文件夹，发现了一个隐藏属性的dll文件，是什么东西要这么见不得人呢。 打开一看，发现没有导出任何进程。于是，重新清理掉这几个木马dll，然后给这个隐藏的dll文件改名。

再启动qq，竟然提示该dll文件不存在，启动出错。 木马果然狡猾，连qq也修改了，看了看qq的主程序，没有修改的痕迹，导入导出表也正常。

于是用qq安装程序覆盖重装，问题依旧。

仔细分析qq文件夹内的dll发现一个wsock32.dll，导入表内有这个可以dll的名字。 对比系统自带的dll，该qq目录下的wsock32.dll大了1K，有19K。

无疑，这个wsock32.dll是木马安插在qq目录下的，启动qq时，优先载入程序目录下的dll导致木马自动启动。删除后qq启动正常。

搜索发现，在qq，tm的bin目录下和qqgame目录下都有此做过手脚的wsock32.dll和附带的木马dll。

至此，木马清理完毕。

像这类在qq文件夹内安插木马的手段，很是隐蔽，很多人把qq安装在非系统盘。

这样即使格式化系统盘并重装系统，重装qq（覆盖安装）也难以清除木马。

这木马估计是一个新的变种，卡巴斯基不能发现内存中的木马。qq自带的盗号木马查杀也不能发现有木马存在。

另外，由于win2000源码外泄，重新编译个带毒的wsock32.dll 很是方便。