关于system.2dt,NewInfo.rxk等的查杀(清除)
日期:2006-11-22 荐:
一,问题提出:电脑门诊栏目NO.2281提问:
ewinfo木马
软件类别:后台自动下载其他恶意程序强制安装,无法彻底删除
出品公司:未知
文件路径:C:\PROGRA~1\COMMON~1/MSINFO\SYSTEM.2DT 二,病毒分析(以下表格中分析情况由冰冷铁窗博客,孤单每一天原创):
病毒大小:21,929 字节
病毒种类:键盘记录木马
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 +修改程序入口点
编写语言:Borland Delphi 6.0 - 7.0
指纹效验:
SHA-160 : C64507 60497774670B6A2B1BD02A106EEE3067
MD5 : 8F8EA016A7D0D2FE3EF1 338DA8D087
RIPEMD-160 : FB8B9BDAEB64A869521A47AC0DC478B8E313DEC5
CRC-32 : 14E94F72
测试平台:win2000PRO 4 VM
病毒行为:
病毒system.bat运行后在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下生成NewInfo.bak、NewInfo.rxk、system.2dt三个文件,经测试system.2dt为system.bat的副本文件,NewInfo.bak为NewInfo.rxk的备份文件(PS:现在的病毒可是花样百出,bak都想到了),将NewInfo.rxk作为线程注入到explorer.exe进程中,修改注册表达到自启动目的。
注册表修改:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
标签: