上周朋友发了几个样本,其中有两个还无法被众多反病毒软件查杀,大概看了一下,都是一路货色,细节上有稍许变化,但解决过程完全相同 winxp.exe、winmain.dll 释放文件 %Windir%\winxp.exe %Program Files%\Common Files\Microsoft Shared\winmain.dll 修改或添加注册表信息 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3B94911-CB71-476A-8015-A15C0D40F3D8}\InProcServer32] 指向 %Program Files%\Common Files\Microsoft Shared\winmain.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {D3B94911-CB71-476A-8015-A15C0D40F3D8} winxp.exe为病毒文件复制,无其他行为;winmain.dll插入到部分进程中去 winCreate.exe、search.dll 释放文件 %Program Files%\Common Files\search.dll %System%\winCreate.exe 修改或添加注册表信息 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F4747B0-4094-4200-A251-866989504B17}\InProcServer32] 指向%Program Files%\Common Files\search.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {6F4747B0-4094-4200-A251-866989504B17} winCreate.exe为病毒文件复制,无其他行为;search.dll插入到部分进程中去 719EB.dll、719EB.exe 释放文件(随机名?) %Windir%\Debug\UserMode\719EB.dll %Windir%\Debug\UserMode\719EB.exe 修改或添加注册表信息 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {65D89E28-6877-480F-85EE-B67147796C82} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{65D89E28-6877-480F-85EE-B67147796C82}\InProcServer32] 指向%Windir%\Debug\UserMode\719EB.dll 719EB.exe为病毒文件复制,无其他行为;719EB.dll插入到部分进程中去 解决过程: 1、设置文件夹属性,使之显示所有系统文件和隐藏文件 2、使用Unlocker解锁删除插入其他进程中的dll文件 3、删除添加的注册表信息和其他病毒文件 4、清除系统临时文件,也可以使用CCleaner来进行 PS: 1、Unlocker下载及使用说明在本站专用网络U盘里均有下载 2、由于这几个病毒工作方式几乎相同,故解决办法也是一样 3、还有一个gx.exe,卡巴报警为Trojan-Downloader.Win32.Small.eju,但在运行后,该东西自我删除,并留下几个文件,均为不可执行文件,罢了 |