此毒在windows文件夹释放一个Myalbum2007.zip(图1);在system32文件夹释放一个sysprinters.dll。此dll可插入多个应用程序进程。
中招后,SRENG日志可见下列异常:
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad]
<system32><sysprinters.dll> []
==================================
正在运行的进程
[PID: 492][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\sysprinters.dll] [N/A, ]
[PID: 1448][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\sysprinters.dll] [N/A, ]
[PID: 1460][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\sysprinters.dll] [N/A, ]
[PID: 1536][C:\Program Files\Internet Download Manager\IDMan.exe] [Internet Download Manager Corp., Tonec Inc. , 5, 0, 2, 5]
[C:\windows\system32\sysprinters.dll] [N/A, ]
[PID: 1912][C:\Program Files\Opera9\Opera.exe] [Opera Software, 8679]
[C:\windows\system32\sysprinters.dll] [N/A, ]
[PID: 844][C:\Program Files\WinRAR\WinRAR.exe] [Alexander Roshal, 3.42]
[C:\windows\system32\sysprinters.dll] [N/A, ]
查杀流程:
1、打开注册表编辑器,展开:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad]
删除:system32
展开:HKEY_CLASSES_ROOT\CLSID\
删除{BB009077-4264-4655-B212-FAB1CAF1DE62}(其中的InProcServer32默认值为"sysprinters.dll"
2、重启系统。
3、删除病毒文件(图2)。
