一只新的“灰鸽子”
感谢“蓝米”网友提供样本。卡巴斯基将此后门命名为:Backdoor.Win32.GrayBird.bh
一、感染系统:
在C:\windows\下创建文件夹Internet Explorer
创建以下木马文件:
1、C:\windows\Internet Explorer\OJSKSU.DAT
2、C:\windows\Internet Explorer\svchost.exe
二、更改注册表:
在:HKLM\System\CurrentControlSet\Services分支添加:mchInjDrv 和 virtual两个注册表键。
三、HijackThis1.99.1日志中可见:
O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe
四、IceSword的进程列表中可见IE浏览器进程(此时IE浏览器并未打开)。
五、用IceSword的手工查杀方法:鉴于C:\windows\Internet Explorer\文件夹中的文件全部隐藏(见附图),建议用IceSword查杀此后门。
1、在IceSword的“设置”中勾选“禁止进程创建,删除C:\windows\Internet Explorer\svchost.exe。
2、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:mchInjDrv
(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:virtual
3、重启系统,删除C:\windows\Internet Explorer\OJSKSU.DAT及C:\windows\Internet Explorer文件夹。
注:用TPF2005的Activity Monitor还检测到这只鸽子在C:\windows\TEMP\下创建了一个mc24BA.tmp文件。但用资源管理器和IceSword均找不到此文件。手工杀毒后,再用卡巴斯基扫C:\windows\TEMP\文件夹——不报毒。
