从一个木马的处理看瑞星需要改进的地方
昨天,在“杭州志愿者论坛”看到一个朋友询问网页可疑文件ee79e84a3bc552d2.exe问题。
根据那位朋友给出的网址http://www.admin3000.com/popwin/soft/ee79e84a3bc552d2.exe,下载此程序观察。
ee79e84a3bc552d2.exe运行后,释放下列文件:
C:\windows\system32\C85B5A86.EXE
C:\windows\system32\C85B5A86T.EXE
C:\windows\system32\C85B5A86.DLL
在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加服务项C85B5A86(指向:C:\windows\system32\C85B5A86.EXE)。
C85B5A86.DLL反复修改winlogon.exe内存并插入该进程中。
手工杀毒初步尝试:
试图用IceSword强制卸除插入winlogon.exe进程中的C85B5A86.DLL————系统崩溃,蓝屏重启。
试图删除木马服务项C85B5A86————可以删除。但重启系统前,木马再次将此服务项写入注册表。
瑞星实时监控所见:
ee79e84a3bc552d2.exe运行期间,瑞星19.05.22实时监控报告C85B5A86.DLL为木马(Trojan.IMMSG.TBMSG.ap),处理方式为“重新启动计算机后删除文件”(图1)。
用瑞星19.05.22扫C85B5A86.EXE、C85B5A86T.EXE两个文件————不报毒。
按照瑞星的提示,重启系统。
重启后,查看winlogon.exe进程中的模块————C85B5A86.DLL依然健在!!(图2)
再看看C:\windows\system32\文件夹中的C85B5A86.EXE和C85B5A86T.EXE————也完好无损!!
至此,已经失去耐心,不想再跟这个木马玩儿了!使出杀手锏(图3)。
再次重启系统,看看瑞星的监控记录————C85B5A86.DLL被删除了(图4)。但是,注册表中服务项(图5)以及system32文件夹中的那两个.exe文件(图6),瑞星不管。得自己手动删除。
这里已经给出了该木马的来源。建议瑞星研发组获取样本后核实一下我所说的这些,改变一下对此马的处理方式。不要“扬汤止沸”;给它来个“釜底抽薪”吧。
图1
