对qq自动传文件病毒逆向后的一点成果

作者: ruder
http://ruder.cdut.net
mail:cocoruder@163.com

不清楚叫什么病毒名，只知道很是厉害，会自动向你的好友发文件。前面一大堆状态判断长的不行了，代码就不帖了，不过还是学到了很多东西，来点实际的:)

*手动删除病毒*
1.查找进程rundll32.exe k掉
2.如果有 .exe（注意是一个特殊字符不是空格）进程，k掉
3.定位[HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand]
改默认键值为 "notepad %1" （注意前面没有那个类似于空格的特殊字符）
4.定位[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
改默认键值为 "%1" %*     （注意前面没有那个类似于空格的特殊字符）
5.定位[HKEY_LOCAL_MACHINESOFTWARETENCENTQQ]
得到你的qq目录，再转到你的qq目录下

可发现 有两个文件
TIMPlatform.exe
TIMP1atform.exe (注意是1不是L)
删除TIMPlatform.exe（病毒，为winrar图标），把TIMP1atform.exe改名为TIMPlatform.exe
6.病毒文件删除,下面是要删除的病毒文件（都为winrar图标）,假设windows目录为c:winnt
c:winntsystem undll32.exe
c:winntsystem32?.exe
c:winntsystem32 otepad?.exe

*为你的系统打上此病毒"补丁"*
打此补丁后以后不会再中此病毒

定位注册表项（没有则新建）

HKEY_LOCAL_MACHINESOFTWAREClassesMSipv

添加一键值
MainVer 类型为REG_DWORD,值为ffffffff（16进制）
病毒启动判断状态参数完毕后会查询此值，如当前版本值比它小则会弹出个对话框就退出。
我得到的病毒版本值为505