【讨论】【原创】关于Trojan.PSW.SBoy.a(假冒的Explorer.exe,大小36.0 KB)
前言:关于这个木马,网上并没有太多的资料,瑞星病毒库里面也没有其详细资料,可是我的同学的电脑接二连三地中毒了;而我本人现在是大一新生,自己没有电脑,而且技术有限,对此并没有办法进行详细分析。所以只好将我本人的分析写出来供大家批评指正。
有对比的图,左边为正常文件或染毒前的状况,右边是病毒或染毒后的状况。 木马名称:Trojan.PSW.SBoy.a(瑞星)/Win32.Troj.PswGame.ad.36864(金山毒霸)
发作经过(学校电脑安装了还原卡,因此无法使用System Safety Monitor,只能手工观察): 0、这个木马大小36.0 KB,第一个特别之处在于其属性模仿。“属性”处除了版本不同之外,其他都是一样,病毒现在模仿程度真是越来越高了……
图片1
1、病毒运行之后,首先向%systemroot%\system32写入一份EXPLORER.EXE,同时还向HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run写入一个字符串值EXPLORER.EXE并设定值为EXPLORER.EXE。
2、向每一个盘(好像除了C盘;开始想写“除了系统盘”,但是想了一下,假如系统盘不是C盘呢?不知道,还是实事求是)、
特别是刚插入的U盘,写入EXPLORER.EXE和autorun.inf,
也许这没有什么,大不了我单击右键打开U盘不就行了吗?可是真正值得“称赞”的是它的第二个特别之处:autorun.inf的文字。
Autorun.inf的文字如下:
[autorun]
OPEN=EXPLORER.EXE
shell\open=打开(&O)
shell\open\Command=EXPLORER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPLORER.EXE
这样的结果是:
无论你是双击打开、还是使用单击右键—〉“打开”,结果都是会打开病毒。为了不被人发现,它同时会新建一个窗口打开该盘。想当初,如果单击右键发现第一个是“Auto”就知道该U盘很可能带毒,可是现在……记得前几天在图书馆,我要打印一些资料,那位操作员很谨慎地单击右键打开U盘。然而当我看到鼠标变为忙状态的时候,我心里咯噔一下,接着心里默默为图书馆祈祷……
图片2
如果单击右键发现第一个是“Auto”就表明该U盘很可能带毒
图片3
现在你能看出哪个是有问题的吗?
以上文件全为隐藏状态。
3、从木马名称可以看出来,这个应该是盗取密码的木马,可是盗取什么样的密码我就不清楚了。从Icesword可以看出来。
图片4
个人现在想到的手工清除方法: 1、断网(非必需),结束假冒的EXPLORER.EXE。这个木马似乎很容易就被结束,因为使用Windows任务管理器就可以轻松杀掉它了。不过不要结束了正常的进程了。其实只要看内存使用,假冒的总是比正常的占用内存小,并且假冒的EXPLORER.EXE的字母全为大写(蓝色标示的为木马进程)。
图片5
警告:假如你不幸错误结束了正常的explorer.exe,请不要直接在“新建任务”处打入explorer.exe,这样做的结果只是启动了打入%systemroot%\system32\EXPLORER.EXE,而并没有启动%systemroot% \explorer.exe,消失了的桌面仍然不会重现。正确的方法是%systemroot% \explorer.exe。
2、删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run的字符串值EXPLORER.EXE。(其实可以直接使用msconfig.exe勾掉)
3、删除%systemroot%\system32\explorer.exe和每一个盘的EXPLORER.EXE和autorun.inf。可是前面说过双击和单击右键打开都会使病毒运行,怎么办?方法是单击“标准按钮栏”(即菜单栏下面那行按钮)的“文件夹”,切换到“资源管理器”状态。在左边直接浏览到各个盘,然后删除。
4、重启并且把杀毒软件的病毒库升到最新版本,执行全盘杀毒。
以后: 要打开U盘,就不要双击和单击右键打开,单击“标准按钮栏”(即菜单栏下面那行按钮)的“文件夹”,切换到“资源管理器”状态来浏览U盘吧,看到病毒,立刻删除。 我的问题: 1、文章有哪些错误?欢迎大家积极批评指正。
2、病毒究竟是不是这么简单我无法验证,因此还请大家指正。
3、“发作经过-1”和“个人现在想到的手工清除方法-1-警告”有点不明白,为什么病毒设置值为EXPLORER.EXE就能够保证自己会发作,而不用设置为%systemroot%\system32\ EXPLORER.EXE?联想起以前的“打入regedit会优先执行regedit.com而不是regedit.exe”,究竟要启动一个程序,是按照一个什么样的顺序来搜索文件的?
