木马躲藏地址:
C:\WINDOWS\system32\GDIs.exe
C:\WINDOWS\system32\ac97.sys
这2个一样的
C:\WINDOWS\system32\GDI.dll
C:\WINDOWS\system32\Mouset.sys
这2个一样的
0012FC98 00D92528 |ExistingName = "C:\WINDOWS\system32\GDIs.exe"
0012FC9C 00D93BA4 |NewName = "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\GDIs.exe"
GDIs.exe添加启动项运行后还自动删除,作用就是再把GDI.dll注入到explorer.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations
很多用户被修改主页但是杀不掉,主要就是它躲在这里,通过开机将自身复制到启动目录,启动后又自动删除,所以找不到原程序,手工查杀可以用XueTr卸载掉GDI.dll,再把这里的注册键值清理掉,桌面的两个快捷方式直接把只读权限去掉删除就可以了,也可以使用360顽固木马专杀大全进行清除.
GDI.dll内的关键字符串
Ultra String Reference
Address Disassembly Text String
008C889D mov edx,GDI.008C89F8 Software\Microsoft\Windows\CurrentVersion
008C88F0 mov edx,GDI.008C8A44 \
008C890F mov edx,GDI.008C8A44 \
008C891F mov ecx,GDI.008C8A50 Internet Explorer\IEXPLORE.EXE
008C8950 mov esi,GDI.008C8B78 查找并显示 Internet 上的信息和网站。
008C8990 mov ecx,GDI.008C8C80 Internet Explorer.lnk
008C8F89 mov ecx,GDI.008C8FC0 \Microsoft\Internet Explorer\Quick Launch
008C9070 mov edx,GDI.008C9114 Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
008C90D6 mov edx,GDI.008C9170 \
008C9222 mov edx,GDI.008C9450 \
008C9245 mov ecx,GDI.008C9450 \
008C928B mov ecx,GDI.008C945C *
008C92C8 mov edx,GDI.008C9468 .
008C92DE mov edx,GDI.008C9474 ..
008C9344 mov eax,GDI.008C9480 腾讯TT
008C93BD mov eax,GDI.008C9490 iexplore
008C99EE mov edx,GDI.008C9B54 \
008C9A20 push GDI.008C9B60 .url
008C9A56 mov edx,GDI.008C9B70 [InternetShortcut]
008C9A79 mov edx,GDI.008C9B8C URL=
008C9AA7 mov edx,GDI.008C9B9C IconFile=
008C9CE0 mov ecx,GDI.008C9D90 \Microsoft\Internet Explorer\Quick Launch
008C9DE0 push GDI.008C9E7C ico1
008C9DFC mov ecx,GDI.008C9E8C \ico1.ico
008C9E16 push GDI.008C9E98 ico2
008C9E32 mov ecx,GDI.008C9EA8 \ico2.ico
008C9F25 mov edx,GDI.008CA100 Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
008C9F8B mov edx,GDI.008CA15C \
008C9FE6 mov edx,GDI.008CA15C \
008CA003 push GDI.008CA17C .url
008CA02F mov edx,GDI.008CA198 InternetShortcut
008CA03F mov ecx,GDI.008CA1B4 IconFile
008CA044 mov edx,GDI.008CA198 InternetShortcut
008CA050 push GDI.008CA1C8 0
008CA055 mov ecx,GDI.008CA1D4 IconIndex
008CA05A mov edx,GDI.008CA198 InternetShortcut
008CA092 mov eax,GDI.008CA1E8 error
008CA20D push GDI.008CA234 1
008CA212 mov ecx,GDI.008CA240 {871C5380-42A0-1069-A2EA-08002B30309D}
008CA217 mov edx,GDI.008CA270 Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
008CA311 mov edx,GDI.008CA5C8 chrome.exe
008CA31D mov edx,GDI.008CA5DC 360SE.exe
008CA335 mov edx,GDI.008CA604 TT
008CA341 mov edx,GDI.008CA610 IEXPLORE.EXE
008CA380 mov ecx,GDI.008CA628 \GDIs.exe
008CA3B0 mov ecx,GDI.008CA63C \ico1.ico
008CA3C2 mov edx,GDI.008CA650 http://www.wan886.com
008CA3D7 mov ecx,GDI.008CA68C \ico2.ico
008CA3E9 mov edx,GDI.008CA6A0 http://www.bo9bo.com
008CA3FE mov ecx,GDI.008CA63C \ico1.ico
008CA410 mov edx,GDI.008CA650 http://www.wan886.com
008CA415 mov eax,GDI.008CA6DC Wan886网址导航
008CA425 mov ecx,GDI.008CA68C \ico2.ico
008CA437 mov edx,GDI.008CA6A0 http://www.bo9bo.com
008CA43C mov eax,GDI.008CA6F4 Bo9bo高清电影
008CA458 mov ecx,GDI.008CA628 \GDIs.exe
008CA47F mov ecx,GDI.008CA628 \GDIs.exe
008CA49D mov ecx,GDI.008CA70C \ac97.sys
008CA4C2 mov ecx,GDI.008CA720 \GDI.dll
008CA50E mov ecx,GDI.008CA628 \GDIs.exe
008CA52B mov ecx,GDI.008CA650 http://www.wan886.com
样本解压密码:52pojie
