当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Trojan-Downloader.Win32.Agent.blm分析手动解决 | |||
2007-9-3 9:52:39 文/孤独更可… 出处:孤独更可靠博客 | |||
文件名称:explorer.exe 文件大小:11636 byte AV命名:Trojan-Downloader.Win32.Agent.blm(卡吧斯基) 编写语言:MASM32 / TASM32 病毒类型:后门\下载器 文件MD5:e01388a75b670d9cbe54038eec8f5ecb 文件SHA1:80296d92d913526431fce628e1452c6f01194055 病毒行为分析: 1、释放病毒文件: %Systemroot%\system32\drivers\pcihdd.sys 6768 字节 2、注册为系统服务,为:
3、通过直接访问PhysicalHardDisk0 、PhysicalDrive0 、Harddisk0\DR0修改MBR。 导致还原卡失效,重启后无法还原初始系统状态。 4、尝试覆盖系统文件userinit.exe?系统重启后应该是由pcihdd.sys完成 不过样本测试中并未实现。 5、如第4点成立,则连接hXXp://yu.8s7.net/cert.cer(58.221.254.103)下载木马。 大概7。8个这样子(我不记得了-_-)有盗魔域、梦幻等网游的`` ================================================================= 自己使用的影子成功抵挡了机器狗,所以解决方法无从写起 按理说被修改的MBR只能重写了`` :( 走一步算一步了: 1、到down.45its.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃) 2、打开PowerRmv,选上“抑制对象再次生成”填入:C:\windows\system32\drivers\pcihdd.sys 3、打开SREng:删除: 驱动(详细步骤:打开SREng-启动项目-驱动程序) [PciHdd / PciHdd][Stopped/Manual Start] 4、看看那个userinit.exe的数字签字,如果不能经过MS校验,则删除,重新栲贝个过来`` 5、木马群解决方法: 打开SREng,删除: 注册表(详细步骤:打开SREng-启动项目-注册表): [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <cmdbcs><C:\winnt\cmdbcs.exe> [] 6、重启电脑,重启后删除文件: [C:\winnt\system32\mppds.dll] [N/A, ] 注,如是XP的系统,路径为C:\windows ===================================================== 其实这个Explorer这是个drooper,重点是那个pcihdd.sys驱动`` 如果它无法加载的话,看看有多尴尬 -_-!: |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |