我已把此木馬樣本傳到以下連結:http://download.csdn.net/detail/cs08211317dn/4096819
一.大緻描述:
1. 樣本名稱:z.exe
2. 家族名: PWS:Win32/Zuten.gen!D(MIcrosoft)
3. MD5:E298C3D646F3F25F2DE7DA8509A3D3B0
4. 技術細節大緻描述: 木馬釋放兩個.ocx檔案,修改explorer.exe記憶體,使其以子產品的方式調用這兩個.ocx檔案;并将其中一個.ocx檔案注冊為輸入法以達到自啟動并注入其他程序的目的。
二、技術細節
1. 程序 z.exe建立檔案C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx,并修改explorer.exe的記憶體讓explorer.exe程序加載子產品C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。
2. 程序z.exe建立檔案c:\windows\system32\jahjah13.exe。
程序 c:\windows\system32\jahjah13.exe删除檔案z.exe并修改系統資料庫項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Ime File的值為MGT99008.OCX,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout Text的值為US,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout File的值為kbdus.dll。以達到将MGT99008.OCX注冊為輸入法,随機自啟動,并注入所有以explorer.exe為父程序的程序(包括notepad.exe)。
系統資料庫截圖如下:
木馬檔案注入情況截圖如下:
三、手殺方案
1. 方案1
(1) 删除系統資料庫項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804,使得檔案C:\WINDOWS\system32\mgt99008.ocx無法作為輸入法自啟動。
(2) 重新開機計算機後,删除檔案C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。
(3) 删除檔案c:\windows\system32\jahjah13.exe。
2. 方案2
(1)用powertool“強行解除安裝子產品并删除子產品檔案”處理成功。截圖如下:
如果用普通解除安裝子產品或者強行解除安裝子產品都會失敗。
(2)删除檔案c:\windows\system32\jahjah13.exe。