木马Trojan-PSW.Win32.Lmir.apk的特点及手工查杀方法
接到“ christine2099”发来的木马样本Vm_sti.exe。卡巴斯基报:Trojan-PSW.Win32.Lmir.apk。
我用它反复感染系统三次(当然是杀掉后再重新感染),感到这个木马有些特点——踪迹不定。如果杀软不报,手工查杀有些困难。因而,将其感染系统的一些特点及手工查杀方法罗列如下。欢迎高手拍砖。
一、本木马感染系统的特点:
1、在C:\下创建fliedebug文件,无后缀,文件名可变。还见过c:\bbcct.exe。
2、随机选择一个分区的一个现存文件夹,创建一个.exe文件。文件名随机,每次感染系统,创建的文件名均不同。
3、随机选择一个分区的一个现存文件夹,创建一个.dll文件。文件名随机。每次感染系统,创建的文件名均不同。
木马创建的这组文件举例(见图1)。
4、以ShellExecuteHooks加载。
5、注册表改动:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加:
"{78E611A2-E484-4A0D-811E-C40100A3F452}"="Maihook1007"
在HKEY_CLASSES_ROOT\分之添加子键:
BFWorkFile1007PV
在HKEY_CLASSES_ROOT\CLSID\分支添加子键:
{78E611A2-E484-4A0D-811E-C40100A3F452}
在HKEY_CLASSES_ROOT\分支添加:
xxxxxx.ShellExecuteHook1007(如:ELJQCH.ShellExecuteHook1007)。xxxxxx为可变部分,这部分字符与那个.dll的文件名相同。
二、手工查杀方法:
1、结束木马进程(在IceSword进程列表中可通过辨认进程的图标确认木马进程——office图标)。
2、根据IceSwoed进程列表显示的路径,找到那个.exe文件,删除。删除C:\下的fliedebug文件。
3、至于那个踪迹不定的.dll文件,可以用autoruns确定(见图2)。找到后,删除之。
4、清理注册表,删除木马添加的注册表内容。
图1
