瑞星卡卡安全论坛

昨天在本论坛看网友日志时发现其中一个启动项可疑：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation]

印象中C:\WINDOWS\system32\目录下没wdm.exe这么个程序啊。于是向提问者索要样本。

收到样本后看了一下其版本信息（图1），第一眼并没看出什么异样。
找个真正的微软程序，打开版本信息比较一下（图2）——马脚露出来了！

在桌面打开运行后，这个wdm.exe释放下列文件：
C:\WINDOWS\system32\wdm.exe
C:\WINDOWS\system32\drivers\ksld.sys
C:\Program Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
添加注册表项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><>  []

重启系统后发现ksld.sys通过wdm.exe加载；ADSL虚拟拨号程序自动运行。
此后，用户每进行一步操作，进程列表中增加一个iexplore.exe进程（尽管此时并未打开IE浏览器）。用SSM禁止iexplore.exe运行，无效！（图3）。

查看MD5发现：wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe是同一个程序。原来QQ里面的正常TIMPlatform.exe已不复存在！（图4）。

杀毒流程：
1、用SSM禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载。
2、重启。删除上述文件。清理注册表。
3、卸载QQ重新安装。

图1

附件: 1558472006813153551.jpg

图2

附件: 1558472006813153620.jpg

图3

附件: 1558472006813153705.jpg

图4

附件: 1558472006813153748.jpg

看来看东西还要仔细才行

学习~~~
这木马我以前以为是微软的..........

这个不是昨天发过么?

引用:

【mopery的贴子】这个不是昨天发过么? ………………

昨天写的很糙。

今天Virustotal的扫描结果：


AntiVir    6.35.1.0    08.12.2006    HEUR/Malware.FKM   
Authentium    4.93.8    08.13.2006    no virus found   
Avast    4.7.844.0    08.10.2006    no virus found   
AVG    386    08.11.2006    no virus found   
BitDefender    7.2    08.13.2006    no virus found   
CAT-QuickHeal    8.00    08.12.2006    (Suspicious) - DNAScan   
ClamAV    devel-20060426    08.13.2006    no virus found   
DrWeb    4.33    08.12.2006    BACKDOOR.Trojan   
eTrust-InoculateIT    23.72.94    08.12.2006    no virus found   
eTrust-Vet    30.3.3016    08.13.2006    no virus found   
Ewido    4.0    08.12.2006    no virus found   
Fortinet    2.77.0.0    08.12.2006    suspicious   
F-Prot    3.16f    08.13.2006    no virus found   
F-Prot4    4.2.1.29    08.13.2006    no virus found   
Ikarus    0.2.65.0    08.11.2006    no virus found   
Kaspersky    4.0.2.24    08.13.2006    no virus found   
McAfee    4827    08.11.2006    no virus found   
Microsoft    1.1508    08.04.2006    no virus found   
NOD32v2    1.1704    08.11.2006    probably unknown NewHeur_PE virus   
Norman    5.90.23    08.11.2006    Suspicious_F.gen   
Panda    9.0.0.4    08.12.2006    Suspicious file   
Sophos    4.08.0    08.13.2006    no virus found   
Symantec    8.0    08.13.2006    no virus found   
TheHacker    5.9.8.191    08.13.2006    no virus found   
UNA    1.83    08.11.2006    Win32.virus   
VBA32    3.11.0    08.13.2006    no virus found   
VirusBuster    4.3.7:9    08.12.2006    no virus found

补充一句：
如果先关闭SSM，运行这只木马，再运行SSM时——报错：SSM的驱动没有加载。
重启系统，SSM才能正常运行。
看来，这马还有点儿意思！

太狡猾的木马，版主要是没 提醒，看日志的时候一顶漏过去。

学习了

呵呵，向版主学习

那个ssm怎么用啊

引用:

【mysky50的贴子】那个ssm怎么用啊 ………………

http://forum.ikaka.com/topic.asp?board=28&artid=7781820
http://forum.ikaka.com/topic.asp?board=28&artid=8010460
http://forum.ikaka.com/topic.asp?board=28&artid=7198994

三个帖子。比较老。但可供参考。

查看MD5发现：wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe是同一个程序。原来QQ里面的正常TIMPlatform.exe已不复存在！（图4）。

汗，还真是两个都成病毒了，昨天晚上看来是我眼花了

谢谢。学习了

好贴``学习``

baohe版主,QQ自带的这个TIMplatform.exe本身好像就有木马行为,会添加QQ地址栏搜索

引用:

【闪电风暴的贴子】baohe版主,QQ自带的这个TIMplatform.exe本身好像就有木马行为,会添加QQ地址栏搜索 ………………

QQ地址栏搜索——安装时没仔细看安装提示，就一路next下去的必然结果。
实际上，你有机会选择“不安装”它。

引用:

【闪电风暴的贴子】baohe版主,QQ自带的这个TIMplatform.exe本身好像就有木马行为,会添加QQ地址栏搜索 ………………

TIMplatform.exe其实是QQ外部应用开发接口管理程序，TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部应用开发接口管理程序，属于QQ不可或缺的底层核心模块。如果删除该程序，QQ将丧失与周边功能模块以及外部应用程序相互调用的功能。

收到....

请问日志怎么发送啊  我不会请知道的人教教我
我在这里先谢谢了

我是电脑菜鸟一个，虽然看不懂,但是还是要谢谢楼主哈!

附件: 7291972006814160349.jpg

中毒现象是什么？

我为什么看不见图？

b请问班主,,这个木马卡吧司机和瑞星可以杀掉吗???

木马杀客行吗????

我的C:\Documents and Settings\Admin\桌面没那个文件就表示我没中木马吗？？？

引用:

【塞门铁克的贴子】我的C:\Documents and Settings\Admin\桌面没那个文件就表示我没中木马吗？？？ ………………

汗！
那木马是我跟别人要的样本，解压到桌面运行，观察木马行为的。那木马不是存在于桌面上（哪有那么傻的木马？！）

学习了~

这样一来,QQ得要重装了~~

SSM是什么啊？
我在使用QQ的时候发现进程里有TIMPlatform.exe这项，请问这木马还有什么症状不？