闪电风暴 - 2006-8-6 11:50:00
有一位会员给的样本,忘记了名字,不好意思哈.
这个hgz.exe只是一个下载器(才11KB),负责下载木马.
木马行为:
运行后,
生成C:\win30.exe
%system%\mstcf.dll(木马通过它设置全局钩子)
创建文件夹
C:\Program Files\Internet Explorer\PLUGINS
下有一个文件:new123.sys,木马win30.exe利用这个文件加载并注入explorer.exe进程
在C:\下载创建文件:autoexec.bat,里面内容如下:
:try
del "c:\win30.exe
if exist "c:\win30.exe goto try
del %0
企图在感染完成后,删除木马源文件
扫描HijackThis日志,无任何异常.
扫出Autoruns,才发现:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ new123.sys=c:\program files\internet explorer\plugins\new123.sys
采用了一种较为罕见的注入方式.
注册表还添加了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32]
@="C:\\Program Files\\Internet Explorer\\PLUGINS\\new123.sys"
"ThreadingModel"="Apartment"
达到加载驱动的目的
清除方法:
结束explorer.exe进程.
删除C:\Program Files\Internet Explorer\PLUGINS\new123.sys(这是隐藏文件,请显示隐藏文件与系统文件后删除.)
清理注册表:
删除:[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
new123.sys=c:\program files\internet explorer\plugins\new123.sys
删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}]
删除C:\autoexec.bat
重启系统
如果有C:\win30.exe,那么删除它.
删除:hgz.exe
删除:%system%\mstcf.dll
清空临时文件夹
请教baohe版主,这个木马似乎没有EXE可执行文件啊.怎么找到?
westbeck - 2006-8-6 11:51:00
关注中...
mopery - 2006-8-6 11:53:00
bin59420@yahoo.com.cn
闪电 送近来..
ad209 - 2006-8-6 11:55:00
这就是我中的病毒,大家知道有解决的方法么?这东西杀掉了过段时间还会有,不知道为什么
baohe - 2006-8-6 12:02:00
| 引用: |
【闪电风暴的贴子】................
扫描HijackThis日志,无任何异常.
扫出Autoruns,才发现:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ new123.sys=c:\program files\internet explorer\plugins\new123.sys
采用了一种较为罕见的注入方式.
……………… |
通过ShellExecuteHooks加载执行,HijackThis扫不出来的。
这种加载方式——“刘麻子”用。
闪电风暴 - 2006-8-6 12:08:00
| 引用: |
【ad209的贴子】这就是我中的病毒,大家知道有解决的方法么?这东西杀掉了过段时间还会有,不知道为什么
……………… |
这就是那个hgz.exe发现木马被删除了,又下载了一下,或者:
C:\autoexec.bat在开机自动启动时加载了木马.
ad209 - 2006-8-6 12:20:00
请问,现在刚升级完瑞星可以彻底杀毒么,会造成严重损失么?
侃侠 - 2006-8-6 12:27:00
瑞星可以发现但是好像只能删除hgz.exe,其他的不行。
ad209 - 2006-8-6 12:31:00
那怎么办?瑞星是我买的第2套正版杀毒了,多长时间官方才能彻底解决呢?
ad209 - 2006-8-6 12:52:00
谢谢闪电风暴,就怕过几天又出来了。报废几台电脑无所谓,可我是怕我的信息泄露啊,那损失就大了...
westbeck - 2006-8-6 12:59:00
学习了...
baohe - 2006-8-6 13:33:00
【回复“闪电风暴”的帖子】
hgz.exe
C:\win30.exe
给我发一个。
baohelin@yahoo.com.cn
applechen - 2006-8-6 14:23:00
我这个是SSM提示要册除的注册表项,是你介绍的这个木马吗?
附件:
696020200686141538.bmp
denber - 2006-8-6 15:27:00
dener2002@hotmail.com给我发一个
闪电风暴 - 2006-8-6 19:39:00
| 引用: |
【ad209的贴子】谢谢闪电风暴,就怕过几天又出来了。报废几台电脑无所谓,可我是怕我的信息泄露啊,那损失就大了...
……………… |
据测试,此木马没有加载钩子等行为,看不来不像会盗密的东西..
不过我没有仔细看网络连接,也许开个后门?不清楚
黑灯黑火 - 2006-8-6 19:42:00
它会自己删除自己,,
给我也发一个吧~~
xue_mai_qi@163.com
baohe - 2006-8-6 20:32:00
| 引用: |
【闪电风暴的贴子】
C:\win30.exe被它自己杀掉了,我找不着
……………… |
怎么看,怎么像一个有缺陷的“刘麻子”。
附件:
155847200686202438.jpg
baohe - 2006-8-6 20:36:00
© 2000 - 2026 Rising Corp. Ltd.