[转帖]一个值得警惕、通过U盘传播的木马

Rico_Y

此马的特点： 1、木马通过加入特定注册表项（见后述），当用户进入“命令提示符”（运行cmd.exe）环境时，先运行木马的副本，增加手工查杀难度。 2、木马主体及副本文件名随机。 3、感染系统后，禁用WINDOWS任务管理器和注册表编辑器。禁止显示隐藏文件。 这个木马作者真是挖空心思！以上三点均是尽量增加手工查杀的操作难度。 如果哪天有人将此马与“威金”或“熊猫”搞成一体.......... 一、感染系统后释放的文件： 1、各分区根目录下的autorun.ini以及XXXXX.EXE（其中XXXXX为随机可变字符，每次感染都发生变化。本例为TXMVX.EXE） 2、C:\WINDOWS\system32\YYYYYY.EXE（其中YYYYYY为随机可变字符，每次感染都发生变化。本例为ZABYAL.EXE） 3、C:\WINDOWS\system32\XXXXX.EXE（其中XXXXX为随机可变字符，每次感染都发生变化。本例为TXMVX.EXE） 4、C:\Documents and Settings\当前用户名\Local Settings\Temp\~ZZZZZ.temp（ZZZZZ为字母、数字随机组合，随机变化） 注：Tiny可以监控到C:\WINDOWS\system32\XXXXX.EXE创建，但用IceSword、WINRAR等均看不到这个文件。删除C:\WINDOWS\system32\YYYYYY.EXE，再运行系统程序cmd.exe后，这个C:\WINDOWS\system32\XXXXX.EXE才出现在IceSword或WINRAR的文件列表中。 二、木马改动的注册表内容： HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "load"="C:\\windows\\system32\\ZABYAL.EXE" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\BD "NAME"="C:\\windows\\system\\TXMVX.EXE" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoFolderOptions"=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system "disableregistrytools"=dword:00000001 "disabletaskmgr"=dword:00000001 HKEY_CURRENT_USER\Software\VB and VBA Program Settings\BD\NAME "NAME"="C:\\windows\\system32\\ZABYAL.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor "AutoRun"="C:\\windows\\system\\TXMVX.EXE"此马的阴险狡诈之处 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue @=dword:00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ZABYAL"="C:\\windows\\system32\\ZABYAL.EXE" 三、手工查杀此马所需的工具： 一个带注册表编辑功能的工具软件（我用的是TuneUp） 一个可以查看隐藏进程的工具软件（SSM或IceSword均可） 四、杀毒流程（以本例文件名为例）： 1、找到隐藏的木马进程（SSM默认显示为棕色；IceSword显示为红色），结束之。 2、清理注册表（以本例文件名为例）： 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 将"load"键值设为空。 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 删除BD 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 删除："NoFolderOptions"=dword:00000001 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system 删除："disableregistrytools"=dword:00000001 删除："disabletaskmgr"=dword:00000001 展开：HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ 删除：BD 展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor 删除："AutoRun"="C:\\windows\\system\\TXMVX.EXE" 展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 删除：CheckedValue子键 展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除："ZABYAL"="C:\\windows\\system32\\ZABYAL.EXE" 3、删除下列文件（注意：不要用IceSword删除，否则，系统立即重启。）： （1）C:\WINDOWS\system32\ZABYAL.EXE （2）C:\windows\system32\TXMVX.EXE （3）C:\Documents and Settings\baohelin\Local Settings\Temp\下的.tmp（文件名是随机变化的） （4）各分区根目录下的autorun.ini和TXMVX.EXE.EXE

[此贴子已经被作者于2006-12-26 9:35:15编辑过]