当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||||||
木马romdrivers.dll romdrivers.bak的手动解决方法 | |||||||
2007-6-27 8:38:59 文/海色の月 出处:C.I.S.R.T. | |||||||
病毒别名:Worm.Win32.Agent.i(瑞星) Win32.Troj.RomDrivers.g.61490 [dll] (毒霸) 病毒大小:20,039 字节 加壳方式:UPX 样本MD5:4e851ecbc46c3c9b845b55b5af67b07c 样本SHA1:37b4a5047f0d8d975248ca9b44e3cbfa94a576c7 发现时间:2007.6 更新时间:2007.6 关联病毒: 传播方式:其它病毒/木马下载,可通过移动存储设备传播 PS:该病毒估计为Worm.Win32.Delf.bz(romdrivers.bak)变种 技术分析 ========== 木马运行后复制自身到IE目录: %ProgramFiles%\Internet Explorer\romdrivers.bak 并释放dll注入Explorer.exe进程: %ProgramFiles%\Internet Explorer\romdrivers.dll 创建ShellExecuteHooks启动方式:
如果romdrivers.dll文件已经存在,木马会生成相同内容不同文件名的romdrivers.bkk来替换romdrivers.dll,设置注册表延迟重命名信息:
数据内容如:
木马可能在分区根目录创建副本: X:\Ghost.pif X:\autorun.inf autorun.inf内容:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {754FB7D8-B8FE-4810-B363-A788CD060F1F} {A6011F8F-A7F8-49AA-9ADA-49127D43138F} {06A68AD9-FF56-6E73-937B-B893E72F6226} {AEB6717E-7E19-11d0-97EE-00C04FD91972} {99F1D023-7CEB-4586-80F7-BB1A98DB7602} {FEB94F5A-69F3-4645-8C2B-9E71D270AF2E} {923509F1-45CB-4EC0-BDE0-1DED35B8FD60} {42A612A4-4334-4424-4234-42261A31A236} {DE35052A-9E37-4827-A1EC-79BF400D27A4} {DD7D4640-4464-48C0-82FD-21338366D2D2} {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5} {131AB311-16F1-F13B-1E43-11A24B51AFD1} {274B93C2-A6DF-485F-8576-AB0653134A76} {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} {01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6} {06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8} {BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA} 删除临时目录%temp%中以下列木马文件名命名的文件夹: fyso.exe jtso.exe mhso.exe qjso.exe qqso.exe wgso.exe wlso.exe wmso.exe woso.exe ztso.exe daso.exe tlso.exe rxso.exe smss.exe csrss.exe svchost32.exe svchost.exe conime.exe ctfmon.exe mmc.exe services.exe IEXPLORE.EXE stpgldk.exe srogm.exe spglsdr.exe copypfh.exe fyso0.dll jtso0.dll mhso0.dll qjso0.dll qqso0.dll wgso0.dll wlso0.dll wmso0.dll woso0.dll ztso0.dll tlso0.dll daso0.dll rxso0.dll 删除%ProgramFiles%\Internet Explorer\PLUGINS中以下列木马文件名命名的文件夹: BinNice.dll BinNice.bak BinNice.bkk 删除%ProgramFiles%\Internet Explorer中以下列木马文件名命名的文件夹: HiJack.dll HiJack.bak HiJack.bkk romdrivers.dll romdrivers.bak romdrivers.bkk 尝试删除的文件还有: %ProgramFiles%\Internet Explorer\Autorun.inf %ProgramFiles%\Internet Explorer\PLUGINS\System64.sys %ProgramFiles%\Common Files\Microsoft Shared\MSINFO\NewInfo.bmp %System%\drivers\etc\hosts 木马之所以这样做可能是为后续的盗号木马植入做准备,此外,该木马还可能会修改Kaspersky的配置信息使其无法正常运行,尝试访问网络下载其它木马程序。 清除步骤 ========== 1. 删除木马创建的ShellExecuteHooks项目:(开始菜单-运行-输入“regedit”)
3. 删除木马文件:(如遇系统提示无法删除文件,请到down.45its.com下载费尔木马强制删除器工具进行强制删除) %ProgramFiles%\Internet Explorer\romdrivers.bak %ProgramFiles%\Internet Explorer\romdrivers.dll %ProgramFiles%\Internet Explorer\romdrivers.bkk 4. 通过资源管理器进入分区根目录,删除文件: X:\Ghost.pif X:\autorun.inf |
|||||||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |