致:“mopery”——关于Trojan.PSW.QQGame.l
收到你发来的样本mswdm.exe。卡巴斯基报:Trojan-Downloader.Small.czl。
1、mswdm.exe运行后,SSM观察到的表现:
(1)反复修改services.exe内存,控制services.exe。
(2)SSM及IceSword进程列表中均见不到木马进程mswdm.exe。
(3)添加启动项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
CheckFaultKernel(指向c:\windows\system32\mswdm.exe)。
(4)注册表其它改动:
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders分支,
将:"Cache"="C:\\Documents and Settings\\当前用户名\\Local Settings\\Temporary Internet Files"
改为:"Cache"="C:\\Documents and Settings\\Local Services\\Local Settings\\Temporary Internet Files"
将"Cookies"="C:\\Documents and Settings\\当前用户名\\Cookies"
改为:"Cookies"="C:\\Documents and Settings\\Local Services\\Cookies"
将"History"="C:\\Documents and Settings\\当前用户名\\Local Settings\\History"
改为:"History"="C:\\Documents and Settings\\Local Services\\Local Settings\\History"
2、常用日志工具所见:
(1)SREng日志:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<CheckFaultKernel><C:\windows\system32\mswdm.exe> []
(2)autoruns日志:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
CheckFaultKernel c:\windows\system32\mswdm.exe
(3)HijackThis日志:
无异常发现。
3、查杀流程:
(1)、删除木马启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
CheckFaultKernel。
(2)、删除木马文件:c:\windows\system32\mswdm.exe
(3)、改正注册表中其它被木马篡改的内容。
如此处理后,重启系统,系统及其它应用软件无异常。
