【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)
++++++++++
上报瑞星,得病毒名为:Backdoor.Agent.dry
将在18.42.2版本解决
木马行为:
运行样本lexps.exe后,SSM拦截lexps.exe多次直接访问物理内存.
添加服务项:
DDOSServer=
C:\windows\system32\lexps.exe
在HJ日志中表现为:
O23 - Service: Windows DDOSServer (DDOSServer) - Unknown owner - C:\windows\system32\lexps.exe
并试图访问网络:
信息:C:\windows\system32\lexps.exe cmdline=C:\windows\system32\lexps.exe -NetSata
感染完成时,样本目录下生成deleteme.bat文件,然后同时与原样本lexps.exe自取短见.企图销毁源木马文件.
根据baohe版主回帖补充:如果发现有调试器或者安全软件拦截它的行为,它会自杀以不被发现.(我测试时用SSM除了访问物理内存是禁止的,其它一律放行,它才没自杀.)查杀方法与鸽子类似,不过简单一些:
1.由于这个lexps.exe是用SYSTEM权限运行的,所以只能用IceSword强行终止它.
2.运行regedit.exe,找到:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]
删除左边的DDOSServer项.
3.重启系统,显示隐藏文件与系统文件后,删除C:\windows\system32\lexps.exe
