每日病毒播报及处理方法---lunar2008-04-24 11:16:11 楼主
有关WINLOGON,LSASS,SMSS这系列的木马
Dr.Web: Trojan.PWS.Wow
KAV: Trojan-PSW.Win32.Wow/Lmir
Symantec: Infostealer.Wowcraft
NOD32: Win32/Legendmir
启动项(其中之一):
TProgram
ToP
Torjan Program
进程(其中之一):
%WinDir%\WINLOGON.exe
%WinDir%\SMSS.exe
%WinDir%\LSASS.exe
档案(包括不同的变种,不同的变种可能有不同):
%WinDir%\1.com
%WinDir%\SMSS.exe
%WinDir%\SERVICES.exe
%WinDir%\LSASS.exe
%WinDir%\WINLOGON.exe
%WinDir%\ExERoute.exe
%WinDir%\EXPLORER.com
%WinDir%\FINDER.com
%WinDir%\EXERT.exe
%WinDir%\IO.SYS.BAK
%WinDir%\Debug\DebugProgram.exe
%WinDir%\Shell.sys
%WinDir%\Winsock32.DLL.SCF
%System%\Anskya0.exe
%System%\Anskya1.exe
%System%\rundll32.com
%System%\finder.com
%System%\msconfig.com
%System%\dxdiag.com
%System%\regedit.com
%System%\command.pif
%System%\i.com
%CommonProgramFiles%\intexplore.pif
%CommonProgramFiles%\inexplore.pif
%CommonProgramFiles%\iexplore.pif
%ProgramFiles%\Internet Explorer\Intexplore.com
%ProgramFiles%\Internet Explorer\Inexplore.com
%ProgramFiles%\Internet Explorer\iexplore.com
%SystemDrive%\bootconf.exe
%SystemDrive%\command.com
%SystemDrive%\command.exe
%SystemDrive%\pagefile.pif
D:\command.com
D:\pagefile.pif
PS:
-%WinDir%是环境变数,一般Windows XP(Windows),2000(WINNT)
-%System%是环境变数,一般Windows XP,2000为System32
-%CommonProgramFiles%是环境变数,一般Windows都是Common Files(在%ProgramFiles%内)
-%ProgramFiles%是环境变数,一般Windows都是Program Files
-%SystemDrive%是环境变数,哪个Drive有%WinDir%,一般都是System Drive(eg. C:\)
修改注册表:
-修改档案关联
-修改Shell = Explorer.exe 1
-修改Protocol (HTTP,FTP,telnet)
还有很多很多......
解决方法:
a) 使用空指针写的针对WINLOGN系列木马的批处理
http://bbs.crsky.com/read.php?tid=684906
b) 使用KV的落雪专杀
(推荐使用)
http://www.jiangmin.com/download/TrojanKiller.exe
-如果无法运行,先把TrojanKiller.exe重新命名为TrojanKiller.com,再运行
-这工具注册表修复上有点问题,令用户在开启不明档案时出现拒绝存取
c) 由C.I.S.R.T. 幸福的狮子编写的“落雪”木马专杀工具
(推荐使用)
http://www.cisrt.org/avtools/MiscKiller.rar
使用方法:
直接点击“杀毒”按钮即可查杀。由于一些杀毒软件杀毒后没有对注册表进行修复,本工具提供了注册表修复功能,可将注册表修复到系统默认状态。
d) 使用由本人写的Trojan.PWS.Wow Removal Tool (在附件)
已测试过的平台: Windows XP SP2
作者: Krazaf / tkabc
使用方法:
-必须已装上Microsoft .NET Framework 2.0 or Higher
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5
-运行前请先关闭任何正在使用中的程序(eg. QQ.exe,IE等等) 和 视窗(eg. "我的电脑"等等)
-运行 Trjwow_rem.com
-建议先用 Do a quick scan and save a logfile 生成报告给帮助人员看看
%SystemDrive%\Search_WOW.log
-用 Destroy 就可以进行清除和修复档案关联,清除后会有报告生成出来
%SystemDrive%\Remove_WOW.log
Latest version: v0.2 Build 0802
MD5: ec910dde7d4d839b5171578a4e6ad58e
===========
Change Log
17/07:
a) 5:34pm - 发现Bug + 新变种.....正在更新中,请暂时不要用Build 0716
b) 8:10pm - 更新到v0.2 Build 0717!可以删除多两个木马档案,新增档案关联功能,修正部份问题
31/07:
a) 发现以下档案,在结束进程后不能删除的问题
%WinDir%\WINLOGON.exe
%WinDir%\SMSS.exe
%WinDir%\LSASS.exe
v0.2 Build 0731 新增功能 - 当档案不能删除时,将会在重新启动电脑时删除
02/08:
更新到v0.2 Build 0802
a) 修改无法正确检测出HKLM....\RunServices中的木马启动项
Dr.Web: Trojan.PWS.Wow
KAV: Trojan-PSW.Win32.Wow/Lmir
Symantec: Infostealer.Wowcraft
NOD32: Win32/Legendmir
启动项(其中之一):
TProgram
ToP
Torjan Program
进程(其中之一):
%WinDir%\WINLOGON.exe
%WinDir%\SMSS.exe
%WinDir%\LSASS.exe
档案(包括不同的变种,不同的变种可能有不同):
%WinDir%\1.com
%WinDir%\SMSS.exe
%WinDir%\SERVICES.exe
%WinDir%\LSASS.exe
%WinDir%\WINLOGON.exe
%WinDir%\ExERoute.exe
%WinDir%\EXPLORER.com
%WinDir%\FINDER.com
%WinDir%\EXERT.exe
%WinDir%\IO.SYS.BAK
%WinDir%\Debug\DebugProgram.exe
%WinDir%\Shell.sys
%WinDir%\Winsock32.DLL.SCF
%System%\Anskya0.exe
%System%\Anskya1.exe
%System%\rundll32.com
%System%\finder.com
%System%\msconfig.com
%System%\dxdiag.com
%System%\regedit.com
%System%\command.pif
%System%\i.com
%CommonProgramFiles%\intexplore.pif
%CommonProgramFiles%\inexplore.pif
%CommonProgramFiles%\iexplore.pif
%ProgramFiles%\Internet Explorer\Intexplore.com
%ProgramFiles%\Internet Explorer\Inexplore.com
%ProgramFiles%\Internet Explorer\iexplore.com
%SystemDrive%\bootconf.exe
%SystemDrive%\command.com
%SystemDrive%\command.exe
%SystemDrive%\pagefile.pif
D:\command.com
D:\pagefile.pif
PS:
-%WinDir%是环境变数,一般Windows XP(Windows),2000(WINNT)
-%System%是环境变数,一般Windows XP,2000为System32
-%CommonProgramFiles%是环境变数,一般Windows都是Common Files(在%ProgramFiles%内)
-%ProgramFiles%是环境变数,一般Windows都是Program Files
-%SystemDrive%是环境变数,哪个Drive有%WinDir%,一般都是System Drive(eg. C:\)
修改注册表:
-修改档案关联
-修改Shell = Explorer.exe 1
-修改Protocol (HTTP,FTP,telnet)
还有很多很多......
解决方法:
a) 使用空指针写的针对WINLOGN系列木马的批处理
http://bbs.crsky.com/read.php?tid=684906
b) 使用KV的落雪专杀
(推荐使用)
http://www.jiangmin.com/download/TrojanKiller.exe
-如果无法运行,先把TrojanKiller.exe重新命名为TrojanKiller.com,再运行
-这工具注册表修复上有点问题,令用户在开启不明档案时出现拒绝存取
c) 由C.I.S.R.T. 幸福的狮子编写的“落雪”木马专杀工具
(推荐使用)
http://www.cisrt.org/avtools/MiscKiller.rar
使用方法:
直接点击“杀毒”按钮即可查杀。由于一些杀毒软件杀毒后没有对注册表进行修复,本工具提供了注册表修复功能,可将注册表修复到系统默认状态。
d) 使用由本人写的Trojan.PWS.Wow Removal Tool (在附件)
已测试过的平台: Windows XP SP2
作者: Krazaf / tkabc
使用方法:
-必须已装上Microsoft .NET Framework 2.0 or Higher
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5
-运行前请先关闭任何正在使用中的程序(eg. QQ.exe,IE等等) 和 视窗(eg. "我的电脑"等等)
-运行 Trjwow_rem.com
-建议先用 Do a quick scan and save a logfile 生成报告给帮助人员看看
%SystemDrive%\Search_WOW.log
-用 Destroy 就可以进行清除和修复档案关联,清除后会有报告生成出来
%SystemDrive%\Remove_WOW.log
Latest version: v0.2 Build 0802
MD5: ec910dde7d4d839b5171578a4e6ad58e
===========
Change Log
17/07:
a) 5:34pm - 发现Bug + 新变种.....正在更新中,请暂时不要用Build 0716
b) 8:10pm - 更新到v0.2 Build 0717!可以删除多两个木马档案,新增档案关联功能,修正部份问题
31/07:
a) 发现以下档案,在结束进程后不能删除的问题
%WinDir%\WINLOGON.exe
%WinDir%\SMSS.exe
%WinDir%\LSASS.exe
v0.2 Build 0731 新增功能 - 当档案不能删除时,将会在重新启动电脑时删除
02/08:
更新到v0.2 Build 0802
a) 修改无法正确检测出HKLM....\RunServices中的木马启动项
