【实例】用SSM对付狡猾木马
常常见到因中毒后“杀不净”而前来求助的帖子。其中原因各式各样。常见的有:
(1)病毒进程不可见或无法结束;
(2)结束病毒进程后,病毒文件依然无法完全删除(插入了正常系统进程)。
(3)病毒添加的启动项无法删除,或删除后立即恢复(病毒/木马有注册表监控能力)。
今天,得到了一个木马样本,有些典型意义。现将其拿来解剖。以展示如何使用SSM杀死这类狡猾的木马。
这只木马运行后,其dll文件插入explorer.exe(资源管理器)进程(图1)。这是一种常见的把戏,颇另新手头痛!
只要你不关闭资源管理器,或用其它恰当手段卸除插入explorer.exe的lenveo.dll(木马的库文件),你就别想删除这个lenveo.dll!
结束explorer.exe?那你就对着一个空荡荡的桌面发傻吧!什么也做不了。
