(netsm.EXE、QQZoneHelper.DLL)分析与解决方案
根据用户反应QQzone插件存在问题,巡警团队立即对这个插件进行了分析,该插件由Netsm.EXE释放,并伪装成腾讯公司的插件,经测试官方发布的QQ并没有附带这个插件,此插件一般绑在正常软件里,用户在安装这些软件的同时,可能会被安装上这个插件,安装这个插件之后会导致关闭IE时出错,产生无法正常关闭的现象发生,影响用户正常使用计算机。
一、流氓软件的相关分析:
流氓软件标签:
文件名: netsm.EXE
危害级别:3
感染平台:Windows
病毒大小:97,213(字节)
SHA1: 99BAA85B16C39811A236FF15D4A8CD0A13C45464
该流氓软件的行为:
1、运行以后释放文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\QQZoneHelper.dll
经检查安装官方qq之后并不会出现此文件,该文件伪装成腾讯公司的插件
2、添加的注册表
[HKEY_CLASSES_ROOT\CLSID\{BF182DBF-1283-4BD3-86EE-D3239228770C}]
[HKEY_CLASSES_ROOT\CLSID\{38004FEF-84E9-47C1-9436-F1F3796971C2}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF182DBF-1283-4BD3-86EE-D3239228770C}]
二、解决方案
下载超级巡警专杀工具,查杀流氓软件。下载地址:
http://u4.dswlab.com/QQZoneHelperkiller.zip
手工清除方法:
1、删除生成的文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\QQZoneHelper.dll
2、删除添加的注册表
[HKEY_CLASSES_ROOT\CLSID\{BF182DBF-1283-4BD3-86EE-D3239228770C}]
[HKEY_CLASSES_ROOT\CLSID\{38004FEF-84E9-47C1-9436-F1F3796971C2}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF182DBF-1283-4BD3-86EE-D3239228770C}]
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
4、禁用不必要的服务。
5、不要使用IE内核的浏览器。
6、不要随意下载不安全网站的文件并运行。
7、下载和新拷贝的文件要首先进行查毒。
8、不要轻易打开即时通讯工具中发来的链接或可执行文件。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles%应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles%公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
超级巡警:彻底查杀各种木马,全面保护系统安全。
更多免费工具下载:http://www.sucop.com