关于木马mssync.exe
1、卡巴斯基今天最新病毒库查不到这只木马。此马植入系统后,释放下列文件:
C:\WINDOWS\system32\mssync.exe
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF159C.tmp
其中C:\WINDOWS\system32\mssync.exe的版本信息假冒微软程序(但冒充的不太像;图1)。
2、系统启动后,mssync.exe启动ADSL虚拟拨号,试图连接网络(图2)。
3、木马进程mssync.exe为隐藏进程,但用IceSword可以看到(图3);WINDOWS进程管理器和SSM的进程列表中均见不到mssync.exe进程。
4、mssync.exe进程监控其注册表启动项,每隔几秒就重写一次。
5、SREng日志可见启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><C:\WINDOWS\system32\mssync.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mssync><C:\WINDOWS\system32\mssync.exe> [Microsoft Corporation]
6、HijackThis v1.99.1日志可见启动项:
F3 - REG:win.ini: load=C:\WINDOWS\system32\mssync.exe
O4 - HKLM\..\Run: [mssync] C:\WINDOWS\system32\mssync.exe
7、手工查杀方法:
(1)用IceSword找到木马进程mssync.exe——结束之。
(2)删除木马文件:
C:\WINDOWS\system32\mssync.exe
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF159C.tmp
(3)删除木马添加的启动项。
图1
