瑞星卡卡安全论坛

sna.exe是中了一个木马下载器（downloader.exe）后下载到系统目录system32中的。
sna.exe本身也是一个木马下载器。瑞星今天的病毒库还不报此downloader.exe和sna.exe，当然，也不报这个lsass.exe。

sna.exe运行后，通过80端口访问网络，下载木马。下载的木马主体程序为c:\WINDOWS\system32\wbem\lsass.exe。

特点：中了这个lsass.exe后，目前常用的日志扫描工具SREng、HijackThis v1.99.1、autoruns等均扫不到异常项目。
但SSM或IceSword的进程列表中可见lsass.exe进程（dll文件图标，路径为c:\WINDOWS\system32\wbem\lsass.exe；见图1）。

一、sna.exe下载的木马文件有：
c:\WINDOWS\system32\wbem\lsass.exe
c:\WINDOWS\system32\wbem\sholl32.dll
C:\WINDOWS\system32\ntworkstan.dll
C:\WINDOWS\system32\wnttech.dll
C:\WINDOWS\system32\advwhes.dll
C:\WINDOWS\system32\wmsnds32.dll

二、注册表改动：
（1）在HKEY_CLASSES_ROOT\CLSID\分支添加：
{C574040B-C11C-41EF-8401-E2AF6F5F6841}
（2）在HKEY_CLASSES_ROOT\TypeLib\分支添加：
{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
（3）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
NTWorkStan
（4）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
wnttech
（5）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支添加：
"C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"

三、杀毒流程：

1、、结束进程lsass.exe（路径c:\WINDOWS\system32\wbem\lsass.exe）
2、、清理注册表：

（1）展开：HKEY_CLASSES_ROOT\CLSID\
删除：{C574040B-C11C-41EF-8401-E2AF6F5F6841}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOT\CLSID\{C574040B-C11C-41EF-8401-E2AF6F5F6841}\LocalServer32的默认值为：
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"


（2）展开：HKEY_CLASSES_ROOT\TypeLib\
删除：{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOT\TypeLib\{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}\1.0\0\win32的默认值为：
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"


（3）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：NTWorkStan
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTWorkStan\Parameters的默认值为：
"ServiceDll"="C:\WINDOWS\system32\ntworkstan.dll"

（4）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：wnttech
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnttech\Parameters的默认值为：
"ServiceDll"="C:\WINDOWS\system32\wnttech.dll"


（5）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除："C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"

图1

附件: 15584720061210164551.jpg

3、重启系统。显示隐藏文件。删除下列文件（见图2）。

图2

附件: 15584720061210164631.jpg

猫叔的东西,顶

佩服楼主

了解了.....

那要用什么办法查？除了ssm和冰刃？

引用:

【水树雨下的贴子】那要用什么办法查？除了ssm和冰刃？ ………………

比较辛苦。
结束那个lsass.exe进程后，C:\WINDOWS\system32\ntworkstan.dll和C:\WINDOWS\system32\wnttech.dll依然无法删除。我是根据文件名，在注册表中搜到的那些加载项和服务项。
这个木马比较另类。

引用:

【baohe的贴子】 比较辛苦。我是根据Tiny检测到的文件释放，在注册表中搜到的那些加载项和服务项。 这个木马比较另类。 ………………

猫叔能多写点关于tiny的帖子吗?

引用:

【拉风的高手的贴子】 猫叔能多写点关于tiny的帖子吗? ………………

Tiny的设置及用法灵活而复杂，要根据实际需要灵活调整。
我不愿意写这方面的东西，就是怕写了以后，反而给朋友们带来一系列的麻烦。
愿意用Tiny的——自己慢慢悟吧。

引用:

【baohe的贴子】 Tiny的设置及用法灵活而复杂，要根据实际需要灵活调整。 我不愿意写这方面的东西，就是怕写了以后，反而给朋友们带来一系列的麻烦。 愿意用Tiny的——自己慢慢悟吧。 ………………

哦,我刚把基本的设置弄好,感觉......很难.

如果以后的毒都扫不出来会是什么情况呢

引用:

【水树雨下的贴子】如果以后的毒都扫不出来会是什么情况呢 ………………

期待SREng和autoruns的更新
HijackThis v 1.99.1是没什么指望了（作者已经很长时间不管它了）。

学习了

学习

谢了

学习了~~`

猫叔整天中病毒。
不过学习了。
哈哈~~~

晕！猫叔不是整天中病毒，而是测试病毒...
猫叔，这个c:\WINDOWS\system32\wbem\lsass.exe
我前段时间试过，和你测的差不多，但有些出入。当时我只有那一个样本，并没有downloader.exe和sna.exe

我也有个lsass.exe 的进程 但在c:\WINDOWS\system32\lsass.exe 不知道是不是病毒！！

引用:

【7485786786的贴子】我也有个lsass.exe 的进程 但在c:\WINDOWS\system32\lsass.exe 不知道是不是病毒！！ ………………

那是系统进程！

不知那些垃圾dll都加载到那些进程下？

支持一下,猫版!!
又长了个见识!!
辛苦辛苦哈

真佩服斑竹  你有QQ不啊？
我怎么都学不会 看着那些文件就头大，你能不能远程帮我杀毒哦
老是那些杀不了的病毒

支持一下!

ding a

学习,学习

学习了，不知道为什么SRE和HJ不能扫描，斑竹能不能测试一下。

或者给我一套病毒副本来测试

请问一下：我在c:盘中只搜到c:\WINDOWS\system32\wbem\lsass.exe，这是否是木马？

引用:

【michelle6的贴子】请问一下：我在c:盘中只搜到c:\WINDOWS\system32\wbem\lsass.exe，这是否是木马？ ………………

是

学习学习，不过最好不要用上，嘿嘿

来学习喽.....