关于那个sysmgr.exe(Trojan.DL.Small.oan)
拿到这个sysmgr.exe,在虚拟机上,本想试试它有多厉害,结果让人失望:
共运行三次,三次它都没有成功地进入系统,也没有复制自身到system32文件夹:
第一次,在不开浏览器的情况下,运行后在进程中,但不再有动作。
这种情况下,结束此进程,就可删除
第二次,在先运行sysmgr.exe的情况下,再打开IE浏览器,TINY墙提示sysmgr.exe要修改IE的内存被禁止,IE和sysmgr.exe进程随之被TINY终止。
此时sysmgr.exe同样马上可删。
第三次,先开IE,再运行sysmgr.exe,这次是SSM提示它要修改IE进程的内存,允许了之后,sysmgr.exe成功修改IE内存后终止自身进程。
TINY墙的Track'n Reverse监控到的文件创建记录显示它创建了一个tmp文件(见图,重复试三次,每次创建的文件名稍有不同,从zco1.tmp到zco3.tmp),之后又自己删除这个文件。除此之外,也没有对硬盘文件和注册表进行其他操作。
结束IE进程,然后这个sysmgr.exe同样可以直接删除。
根据以上结果,sysmgr.exe在我的虚拟机里感染并不完全,可能原因:
1.它不是病毒的主文件,所以单凭它并不能完成感染的过程。
2.它类似于一个下载器。如果被它修改内存的IE进程运行的时间一长,可能会偷偷从网上下载真正的木马。
因此,测试可能不完全,所以暂时也不能谈“查杀”。希望baohe和其他的各位也试试,或者把那个被修改了内存的IE进程挂上网上久一点,也许会有收获。
