彻底解决一个颇能迷惑人的木马wdm.exe
电脑软硬件应用网 45IT.COM 时间:2006-08-20 00:01 作者:45ITCOM整理
看网友日志时发现其中一个启动项可疑: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run][Microsoft Corporation] 印象中C:\WINDOWS\system32\目录下没wdm.exe这么个程序啊。于是向提问者索要样本。 //本文来自电脑软硬件应用网www.45its.com 收到样本后看了一下其版本信息(图1),第一眼并没看出什么异样。
找个真正的微软程序,打开版本信息比较一下(图2)——马脚露出来了!
在桌面打开运行后,这个wdm.exe释放下列文件: C:\WINDOWS\system32\wdm.exe C:\WINDOWS\system32\drivers\ksld.sys C:\Program Files\Tencent\QQ\TIMPlatfrom.exe C:\Program Files\Tencent\QQ\TIMPlatform.exe 添加注册表项: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [Microsoft Corporation] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <> []
重启系统后发现ksld.sys通过wdm.exe加载;ADSL虚拟拨号程序自动运行。此后,用户每进行一步操作,进程列表中增加一个iexplore.exe进程(尽管此时并未打开IE浏览器)。用SSM禁止iexplore.exe运行,无效!(图3)。
查看MD5发现:wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe是同一个程序。原来QQ里面的正常TIMPlatform.exe已不复存在!(图4)。
杀毒流程: 1、用SSM禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载。 2、重启。删除上述文件。清理注册表。 3、卸载QQ重新安装。 | 电脑软硬件应用网站长友情提醒:如果先关闭SSM,运行这只木马,再运行SSM时——报错:SSM的驱动没有加载。重启系统,SM才能正常运行。看来,这马还有点儿意思!
|
------分隔线----------------------------
无法在这个位置找到: baidushare.htm