致“卧龙传说”——7.exe的查殺
樣本是個驅動級木馬
這個木馬隱蔽性很好。我用TPF2005的Activity Monitor沒有監控到註冊表啓動加載項的添加(那兩個啓動加載項是我自己根據文件名在註冊表中搜索出來的)。00024914.dll和00024914.sys兩個木馬文件在普通WINDOWS模式下為隱藏。
1、創建文件:
在system32文件夾在夾中創建7.exe、00024914.dll;在system32\driver\文件夾中創建00024914.sys。
2、插入進程:此木馬插入iexplore.exe進程。
3、註冊表改動:
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\添加:
Schedule(指向c:\windows\system32\7.exe)
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分之添加:
HIDEME(指向c:\windows\system32\00024914.sys)
查殺:
1、結束iexplore.exe進程。
2、刪除上述三個木馬文件。其中:00024914.dll和00024914.sys在普通WINDOWS模式下為隱藏,根本找不到。須用IceSword找到/刪除之。
3、刪除木馬在註冊表中添加的啓動加載項。
