RIS2010 最新病毒库依然不杀的一个木马下载器
昨天,麦青儿已经上报这个样本了。但RIS 22.37.01.04病毒库依然不报此毒。
文件名:flash_player.45174.exe;文件大小:88.5K。MD5值:FA5D34CD694E6AB5DDDD06928F9C83A2
中毒后,SRENG日志可见的异常内容如下:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <TOY5KNQ8OC><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe> []
服务
[SSHNAS / SSHNAS][Stopped/Auto Start] <C:\windows\system32\svchost.exe -k netsvcs-->C:\windows\system32\sshnas21.dll><N/A>
进程
[PID: 3720][C:\windows\msa.exe] [N/A, ]
[PID: 2660][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe] [N/A, ]
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 3720, C:\WINDOWS\MSA.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2660, C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\GHL.EXE]
计划任务
[已启用] {66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe
[已启用] {35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\windows\msa.exe
用IceSword的手杀流程:
1、禁止进程创建。
2、结束病毒进程:
C:\windows\msa.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe
3、删除病毒文件(见下图):
4、删除病毒添加的启动加载项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <TOY5KNQ8OC>
删除病毒服务:
SSHNAS
附上病毒样本备查(密码:123):
附件: virus.rar (2010-3-2 16:12:05, 53.14 K)
该附件被下载次数 351
用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10