病毒名称:Trojan-Downloader.Win32.Agent.bek [exe](Kaspersky) 病毒别名:Trojan.PSW.Win32.WsGame.y [exe](瑞星), Trojan.PSW.Win32.CabalOnline.q [dll](瑞星) Win32.Troj.Hooker.c.11776 [dll](毒霸) 病毒大小:7,068 字节 加壳方式:PE_Patch UPack 样本MD5:54293c4332be882b336dbada19a9511f 样本SHA1:87c691131fe9aef0621bece64a9672b77833cada 发现时间:2007.8 更新时间:2007.8.10 关联病毒: 传播方式:恶意网页、其它木马下载
技术分析 ==========
网游木马,运行后释放dll到系统目录: %System%\jtdoor0.dll
创建ShellExecuteHooks启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{71046DD5-E136-4C4B-A6B5-91C30CB15291}"="hook jt"
[HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}\InprocServer32] @="%System%\jtdoor0.dll" 木马会不断重写释放出的dll文件和启动项。
设置注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}] "daExeModuleName"="{原文件}" "daDllModuleName"="%System%\jtdoor0.dll" "daSobjEventName"="YUTDFGHKHCOOLJT_0" 清除步骤 ==========
1. 结束Explorer.exe进程
2. 删除(或重命名/移动)木马文件: %System%\jtdoor0.dll
3. 运行Explorer.exe进程
4. 删除木马创建的ShellExecuteHooks启动项和相关信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{71046DD5-E136-4C4B-A6B5-91C30CB15291}"
[HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}]
[HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}] 5. 如果第2步中没有删除木马文件,重启计算机后再删除重命名或移动过的木马文件: %System%\jtdoor0.dll
|