sna.exe是中了一个木马下载器(downloader.exe)后下载到系统目录system32中的。 sna.exe本身也是一个木马下载器。瑞星今天的病毒库还不报此downloader.exe和sna.exe,当然,也不报这个lsass.exe。
sna.exe运行后,通过80端口访问网络,下载木马。下载的木马主体程序为c:\WINDOWS\system32\wbem\lsass.exe。
特点:中了这个lsass.exe后,目前常用的日志扫描工具SREng、HijackThis v1.99.1、autoruns等均扫不到异常项目。 但SSM或IceSword的进程列表中可见lsass.exe进程(dll文件图标,路径为c:\WINDOWS\system32\wbem\lsass.exe;见图1)。
|
一、sna.exe下载的木马文件有: c:\WINDOWS\system32\wbem\lsass.exe c:\WINDOWS\system32\wbem\sholl32.dll C:\WINDOWS\system32\ntworkstan.dll C:\WINDOWS\system32\wnttech.dll C:\WINDOWS\system32\advwhes.dll C:\WINDOWS\system32\wmsnds32.dll
二、注册表改动: (1)在HKEY_CLASSES_ROOT\CLSID\分支添加: {C574040B-C11C-41EF-8401-E2AF6F5F6841} (2)在HKEY_CLASSES_ROOT\TypeLib\分支添加: {8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0} (3)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加: NTWorkStan (4)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加: wnttech (5)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支添加: "C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"
三、杀毒流程:
1、、结束进程lsass.exe(路径c:\WINDOWS\system32\wbem\lsass.exe) 2、、清理注册表:
(1)展开:HKEY_CLASSES_ROOT\CLSID\ 删除:{C574040B-C11C-41EF-8401-E2AF6F5F6841} 【注】删除此键时可供核对的信息:HKEY_CLASSES_ROOT\CLSID\{C574040B-C11C-41EF-8401-E2AF6F5F6841}\LocalServer32的默认值为: @="c:\\WINDOWS\\system32\\wbem\\lsass.exe"
(2)展开:HKEY_CLASSES_ROOT\TypeLib\ 删除:{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0} 【注】删除此键时可供核对的信息:HKEY_CLASSES_ROOT\TypeLib\{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}\1.0\0\win32的默认值为: @="c:\\WINDOWS\\system32\\wbem\\lsass.exe"
(3)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除:NTWorkStan 【注】删除此键时可供核对的信息:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTWorkStan\Parameters的默认值为: "ServiceDll"="C:\WINDOWS\system32\ntworkstan.dll"
(4)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除:wnttech 【注】删除此键时可供核对的信息:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnttech\Parameters的默认值为: "ServiceDll"="C:\WINDOWS\system32\wnttech.dll"
(5)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List 删除:"C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"
3、重启系统。显示隐藏文件。删除下列文件(见图2)。
|