警惕“狸猫换太子”的把戏
今天,在全影模式下玩儿一病毒样本,发现这毒能部分穿透影子。穿透机制也有点儿意思。
重启后,无法进入桌面了。
用任务管理器运行explorer.exe,ssm报explorer.exe的md5变了!
暂时放行,并用工具跟踪它。
进入桌面,看看windows目录下的explorer.exe----汗!假的!真的被弄到system32目录下了(图1)。
此外 windows目录下还多了一个wgtx.exe。这个文件名是随机的,且随用户操作不断变化!强行删除假explorer.exe后,瑞星主防报警(图3),wgtx.exe变为iwib.exe(图2)。
瑞星主防禁止病毒那步操作后,打开 icesword,禁止进程创建,结束explorer.exe进程。然后删除iwib.exe和假explorer.exe。然后删除iwib.exe和假explorer.exe。再将system32目录下的真explorer.exe拷回windows目录。
最后,再在注册表中搜索一下包含iwib.exe的键值----删除(图4)。
用户系统信息:opera/9.26 (windows nt 5.1; u; zh-cn)