“连环套”式的“木马群”及其查杀简介
ZA样本暂放处(2013-1-26)
附件: 32.rar (2013-1-26 14:57:31, 164.00 K)
该附件被下载次数 141
今天,在金山论坛看到一个网友介绍了一个BT的“连环套”式的“木马群”。<br>这群马来自:hxxp://dx1.365base.com/downsoft226.exe(没把握的,千万不要下载)。<br>这是个1.53M的EXE文件。图标为安装程序。<br>这么大的文件,一般不大会想到它是木马(其图标又是“安装程序”)。<br>实际上,这是一堆流氓+木马。<br>厉害的是:downsoft226.exe一旦在你系统中完全运行了,你的厄运就来了。进程列表中多出了svchost.exe(记事本图标)、setup.exe、cdn.exe.....等N个进程。这些进程无法结束,即使你用IceSword禁止进/线程创建,再结束这些进程,也不行。用SSM——同样无效。那个spoolsv.exe时时刻刻、不停地在设置全局钩子(尽管被PG一一拦截下来)。<br>___________________<br>今天索性关闭一些监控软件,只开瑞星2006、SSM,就在普通WINDOWS模式下将这群木马植入系统。<br><font color=#FF0000>感染及查杀过程的简要介绍见本帖17楼</font>