木马romdrivers.dll romdrivers.bak的手动解决方法

病毒名称：Virus.Win32.AutoRun.p（Kaspersky）
病毒别名：Worm.Win32.Agent.i（瑞星）
　　　　　 Win32.Troj.RomDrivers.g.61490 [dll] （毒霸）
病毒大小：20,039 字节
加壳方式：UPX
样本MD5：4e851ecbc46c3c9b845b55b5af67b07c
样本SHA1：37b4a5047f0d8d975248ca9b44e3cbfa94a576c7
发现时间：2007.6
更新时间：2007.6
关联病毒：
传播方式：其它病毒/木马下载，可通过移动存储设备传播

PS：该病毒估计为Worm.Win32.Delf.bz(romdrivers.bak)变种

技术分析
==========

木马运行后复制自身到IE目录：
%ProgramFiles%\Internet Explorer\romdrivers.bak
并释放dll注入Explorer.exe进程：
%ProgramFiles%\Internet Explorer\romdrivers.dll

创建ShellExecuteHooks启动方式：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{09B68AD9-FF66-3E63-636B-B693E62F6236}"=""

[HKEY_CLASSES_ROOT\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\romdrivers.dll"

如果romdrivers.dll文件已经存在，木马会生成相同内容不同文件名的romdrivers.bkk来替换romdrivers.dll，设置注册表延迟重命名信息：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"

数据内容如：

\??\C:\Program Files\Internet Explorer\romdrivers.bkk
!\??\C:\Program Files\Internet Explorer\romdrivers.dll

木马可能在分区根目录创建副本：
X:\Ghost.pif
X:\autorun.inf
autorun.inf内容：

[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell\Auto\command=Ghost.pif
shell=Auto

删除注册表中ShellExecuteHooks下的木马CLSID：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}

删除临时目录%temp%中以下列木马文件名命名的文件夹：
fyso.exe
jtso.exe
mhso.exe
qjso.exe
qqso.exe
wgso.exe
wlso.exe
wmso.exe
woso.exe
ztso.exe
daso.exe
tlso.exe
rxso.exe
smss.exe
csrss.exe
svchost32.exe
svchost.exe
conime.exe
ctfmon.exe
mmc.exe
services.exe
IEXPLORE.EXE
stpgldk.exe
srogm.exe
spglsdr.exe
copypfh.exe
fyso0.dll
jtso0.dll
mhso0.dll
qjso0.dll
qqso0.dll
wgso0.dll
wlso0.dll
wmso0.dll
woso0.dll
ztso0.dll
tlso0.dll
daso0.dll
rxso0.dll

删除%ProgramFiles%\Internet Explorer\PLUGINS中以下列木马文件名命名的文件夹：
BinNice.dll
BinNice.bak
BinNice.bkk

删除%ProgramFiles%\Internet Explorer中以下列木马文件名命名的文件夹：
HiJack.dll
HiJack.bak
HiJack.bkk
romdrivers.dll
romdrivers.bak
romdrivers.bkk

尝试删除的文件还有：
%ProgramFiles%\Internet Explorer\Autorun.inf
%ProgramFiles%\Internet Explorer\PLUGINS\System64.sys
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\NewInfo.bmp
%System%\drivers\etc\hosts

木马之所以这样做可能是为后续的盗号木马植入做准备，此外，该木马还可能会修改Kaspersky的配置信息使其无法正常运行，尝试访问网络下载其它木马程序。

清除步骤
==========

1. 删除木马创建的ShellExecuteHooks项目：(开始菜单－运行－输入“regedit”)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{09B68AD9-FF66-3E63-636B-B693E62F6236}"

[HKEY_CLASSES_ROOT\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}]

2. 重新启动计算机

3. 删除木马文件：(如遇系统提示无法删除文件，请到down.45it.com下载费尔木马强制删除器工具进行强制删除)
%ProgramFiles%\Internet Explorer\romdrivers.bak
%ProgramFiles%\Internet Explorer\romdrivers.dll
%ProgramFiles%\Internet Explorer\romdrivers.bkk

4. 通过资源管理器进入分区根目录，删除文件：
X:\Ghost.pif
X:\autorun.inf

搜索

木马romdrivers.dll romdrivers.bak的手动解决方法