关于g0ld.com
据说是来自某网站的木马。拿到样本,看了一下。
其MD5值为33119870f5b8c7f823c8f6362555c756
瑞星18.41.22不报毒。升级到18.41.30——仍不报。
(一)感染系统后的表现:
g0ld.com运行后,在C:\Program Files\Common Files\Microsoft Shared\MSInfo目录下释放InfoMz.IME。
InfoMz.IME注入explorer.exe进程。
g0ld.com添加的注册表项:
1、在HKEY_CLASSES_ROOT\CLSID\分支添加:{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
在HKEY_CLASSES_ROOT\CLSID\{F084FD46-EB63-4CC0-B814-99C16EE76BD1}\
添加:InProcServer32
InProcServer32的默认值为:@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\InfoMz.Ime"
"ThreadingModel"="Apartment"
2、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加:
"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""
(二)查杀流程:
1、打开IceSword,找到进程explorer.exe,右击explorer.exe,点击“模块信息”,强制卸除插入explorer.exe进程的nfoMz.IME。
2、删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\InfoMz.IME。
3、清理注册表:
打开注册表编辑器。
展开:HKEY_CLASSES_ROOT\CLSID\
删除:{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除:"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""
