警惕“狸猫换太子”的把戏

今天,在全影模式下玩儿一病毒样本,发现这毒能部分穿透影子。穿透机制也有点儿意思。
重启后,无法进入桌面了。
用任务管理器运行explorer.exe,ssm报explorer.exe的md5变了!
暂时放行,并用工具跟踪它。
进入桌面,看看windows目录下的explorer.exe----汗!假的!真的被弄到system32目录下了(图1)。
此外 windows目录下还多了一个wgtx.exe。这个文件名是随机的,且随用户操作不断变化!强行删除假explorer.exe后,瑞星主防报警(图3),wgtx.exe变为iwib.exe(图2)。
瑞星主防禁止病毒那步操作后,打开 icesword,禁止进程创建,结束explorer.exe进程。然后删除iwib.exe和假explorer.exe。然后删除iwib.exe和假explorer.exe。再将system32目录下的真explorer.exe拷回windows目录。
最后,再在注册表中搜索一下包含iwib.exe的键值----删除(图4)。

用户系统信息:opera/9.26 (windows nt 5.1; u; zh-cn)

附件附件:

文件名:1.jpg
下载次数:276
文件类型:image/jpeg
文件大小:
上传时间:2008-6-26 18:00:17
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:2.jpg
下载次数:303
文件类型:image/jpeg
文件大小:
上传时间:2008-6-26 18:00:17
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:3.jpg
下载次数:321
文件类型:image/jpeg
文件大小:
上传时间:2008-6-26 18:00:17
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:4.jpg
下载次数:269
文件类型:image/jpeg
文件大小:
上传时间:2008-6-26 18:00:17
描述:jpg
预览信息:EXIF信息



最后编辑baohe 最后编辑于 2008-06-26 19:09:15