瑞星卡卡安全论坛

接到“    christine2099”发来的木马样本Vm_sti.exe。卡巴斯基报：Trojan-PSW.Win32.Lmir.apk。
我用它反复感染系统三次（当然是杀掉后再重新感染），感到这个木马有些特点——踪迹不定。如果杀软不报，手工查杀有些困难。因而，将其感染系统的一些特点及手工查杀方法罗列如下。欢迎高手拍砖。

一、本木马感染系统的特点：
1、在C:\下创建fliedebug文件，无后缀，文件名可变。还见过c:\bbcct.exe。
2、随机选择一个分区的一个现存文件夹，创建一个.exe文件。文件名随机，每次感染系统，创建的文件名均不同。
3、随机选择一个分区的一个现存文件夹，创建一个.dll文件。文件名随机。每次感染系统，创建的文件名均不同。
木马创建的这组文件举例（见图1）。
4、以ShellExecuteHooks加载。
5、注册表改动：


在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加：
"{78E611A2-E484-4A0D-811E-C40100A3F452}"="Maihook1007"

在HKEY_CLASSES_ROOT\分之添加子键：
BFWorkFile1007PV

在HKEY_CLASSES_ROOT\CLSID\分支添加子键：
{78E611A2-E484-4A0D-811E-C40100A3F452}


在HKEY_CLASSES_ROOT\分支添加：
xxxxxx.ShellExecuteHook1007（如：ELJQCH.ShellExecuteHook1007）。xxxxxx为可变部分，这部分字符与那个.dll的文件名相同。

二、手工查杀方法：
1、结束木马进程（在IceSword进程列表中可通过辨认进程的图标确认木马进程——office图标）。
2、根据IceSwoed进程列表显示的路径，找到那个.exe文件，删除。删除C:\下的fliedebug文件。
3、至于那个踪迹不定的.dll文件，可以用autoruns确定（见图2）。找到后，删除之。
4、清理注册表，删除木马添加的注册表内容。

图1

附件: 15584720051210174757.jpg

图2
注：本图所示dll文件名与图1所示不同。因为这是两次不同感染的结果。

附件: 15584720051210175009.jpg

先顶， 学习

可不可以把样本发给我????偶也试试!
还有,老班你图二的那个软件哪有下载的?

引用:

【独孤豪侠的贴子】可不可以把样本发给我????偶也试试 ...........................

请留下邮箱地址

zkkgsg@163.com
主题标为病毒样本~

【回复“独孤豪侠”的帖子】
autoruns的下载地址：
www.sysinternals.com

3Q  找到了,这软件的做用是什么?全英文的?????有中文版的没有?

baohe大大,偶也后脸皮的要一个样本来试试~~
ilif01@yahoo.com.cn

【回复“猎鹰渔民”的帖子】
邮件已经发到ilif01@yahoo.com.cn

tx

那C:\下的fliedebug，还有那*.exe，*.dll都能找得出，，我的机子中也有那么回事，可有时关键是你删不了它。。。，出现诸如文件磁盘已满之类的话，反正就是让你删不掉它。

先顶一下，学习学习，谢过楼主了！！
哈，我觉得那鸟难缠就是出于注册表，如上所讲已经都在注册表中找到并删除了，不知道能否彻底清除？是否凑效？看看再说吧。

删除成功了~谢谢斑竹拉~嘿嘿~~开心ing~

学习了，，，
“fliedebug文件，无后缀”

这种无后缀的文件也就是没有类型的文件吧~~

它生成这个无后缀的文件有什么用呢，，