一个比较难杀的DLL木马
此马来自某网站上的一个号称“office2007企业版破解程序”。
运行这个破解程序,要求指定一个解压目录。为此,我特意建立并指定了“C:\office2007算号”(图1)。包解压后,瑞星最新病毒库可以发现并杀掉此目录中的KeyGen.exe(图2),但查不到它释放的那个DLL木马(一个随机文件名的DLL)。SRENG日志可见:
注册表
启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{435D08DD-665E-474F-B977-5EE75A2BDCB2}><C:\windows\system32\efccywt.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efccywt]
<WinlogonNotify: efccywt><efccywt.dll> [N/A]
==================================
正在运行的进程:
[PID: 580][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\efccywt.dll] [N/A, N/A]
[PID: 164][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\windows\system32\efccywt.dll] [N/A, N/A]
我试图用SSM禁止此DLL加载运行(图3)——无效。重启系统后,winlogon.exe和Explorer.EXE进程中依然可见efccywt.dll。用IceSword可以强制卸除Explorer.EXE进程中的efccywt.dll,但是强制卸除winlogon.exe进程中的efccywt.dll时,系统崩溃、重启。重启后,efccywt.dll依然插入上述两个进程。
变换策略,试图先删除其加载项,再重启、删除efccywt.dll。结果,删除那两个加载项后,系统假死。重启后,那个DLL依然加载运行!汗!!
再次变换策略:先用IceSword强制删除这个DLL(图4),再利用IceSword重启系统(图5)。最后,删除此DLL的加载项(图6),再删除"C:\office2007算号\"目录,搞掂。
图1
[用户系统信息]Opera/9.23 (Windows NT 5.1; U; zh-cn)
