otta13
技术员
帖子
146
精华
0
无忧币 1283
积分 207
阅读权限 30
|
发表于:2008-6-25 20:31
标题:新的木马setup.exe
<上一帖 |
下一帖>
若不了解其内情,这个木马下载器手工查杀比较难。
中招后,木马文件wihji.exe会跟踪用户运行的应用程序运行。wihji.exe每运行一次,便生成一套新木马文件(文件名随机)。
中招后,你运行的程序越多,木马副本生成的越多。
手工杀毒时,要先删除wihji.exe,再将木马副本serivces.exe改名、删除(此文件不能直接删除)。另请注意:改名操作时不要将木马文件名serivces.exe与系统文件名services.exe混淆(二者只是字母顺序有差异)。
生成的木马文件名虽然不确定,但是,此马有有一特点,可供手工查杀时以利用:木马文件的生成日期均标为1980-8-13。因此,可以按文件创建日期1980-8-13搜索系统盘内的文件。找到后删除。
木马添加的服务项是:
HKLM\System\CurrentControlSet\Services
wuauserv(指向C:\windows\system32\serivces.exe)
可以删除。
瑞星19.35.62已能杀此木马群。建议升级瑞星病毒库后用瑞星查杀。
注:
1、木马文件wihji.exe的文件名可能也是随机的。
2、此马是否感染其它分区及移动存贮设备,不能肯定。我运行此木马样本时,没发现它感染其它分区及移动存贮设备。木马运行至接近完成时曾调用系统调试程序失败并报错。
|
论坛活动:测测你对IT技术大会的了解指数(赠微软礼品、无忧币) |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图