|
|
|||||||||||
|
|||||||||||||
| 当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
| twunk32.exe TIMPlatform.exe TIMPlatfrom.exe木马解决方案 | |||
| 2007-1-3 14:42:57 文/海色の月 出处:cisrtbbs | |||
|
病毒名称:Trojan-Downloader.Win32.Small.czl(Kaspersky) 病毒别名: 病毒大小:24,576 字节 加壳方式:PE-Armor 样本MD5:d4fa99030af46864425560e07f052b50 样本SHA1:e60199bd1406ad11c022c7f8356f3bd6b7b40c6a 发现时间:2006.12 更新时间:2006.12 关联病毒: 传播方式:恶意网页、其它病毒下载 技术分析 ========== 这个木马最近比较流行,通过修改QQ相关程序增加了清除的难度。木马运行后复制自身到系统目录下: %System%\twunk32.exe 注入进程…… 释放文件: %System%\drivers\usbme.sys 创建启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "twin"="%System%\twunk32.exe" 修改QQ目录下的TIMPlatform.exe文件,使用病毒副本替换TIMPlatform.exe,原TIMPlatform.exe被改名为TIMPlatfrom.exe。 清除步骤 ========== 1. 删除QQ目录下被木马替换的TIMPlatform.exe: %QQ%\TIMPlatform.exe 2. 重命名TIMPlatfrom.exe文件: 将%QQ%\TIMPlatfrom.exe重命名为TIMPlatform.exe 3. 删除木马启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "twin"="%System%\twunk32.exe" 4. 重新启动计算机 5. 删除木马文件: %System%\twunk32.exe %System%\drivers\usbme.sys |
|||
| 关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
|
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |
