【CISRT2007099】木马 Agent.dll gfdwq.bbr adapi32.dll 解决方案

查看文章

2007-09-27 14:53

原文链接：http://www.cisrt.org/bbs/viewthread.php?tid=1527

档案编号：CISRT2007099
病毒名称：Trojan-PSW.Win32.OnLineGames.tn（Kaspersky）
病毒别名：Trojan.PSW.Win32.OnlineGames.dfz（瑞星）
　　　　　 Win32.PSWTroj.OnLineGames.tn.86016 [exe]（毒霸）, Win32.Troj.OnlineGames.ny.126976 [dll]（毒霸）
病毒大小：27,967 字节
加壳方式：UPack
样本MD5：d37bea844c36c786fa6136ffd283cf8a
样本SHA1：6939b106bb146fb7194c01e9c14ec036672a8565
发现时间：2007.7
更新时间：2007.7.10
关联病毒：
传播方式：通过恶意网页传播、其它木马下载

技术分析
==========

木马运行后释放dll到系统目录：
%System%\Agent.dll
创建副本：
%System%\gfdwq.bbr
%System%\adapi32.dll
%System%\aetpksw.dll
%System%\hytsx.dll
%System%\wiytd.dll
%System%\wkjhl.dll
%System%\wljhj.dll
%System%\wlkhm.dll
%System%\zeqax.dll
并将这些dll注入进程。

完整内容请访问：http://www.cisrt.org/bbs/viewthread.php?tid=1527

清除步骤
==========

1. 重命名木马文件：
%System%\Agent.dll

2. 重新启动计算机

3. 删除重命名过的木马文件：
%System%\Agent.dll

4. 删除其它木马副本：
%System%\gfdwq.bbr
%System%\adapi32.dll
%System%\aetpksw.dll
%System%\hytsx.dll
%System%\wiytd.dll
%System%\wkjhl.dll
%System%\wljhj.dll
%System%\wlkhm.dll
%System%\zeqax.dll

5. 删除ShellExecuteHooks启动项：

[Copy to clipboard] [ - ]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}"

[HKEY_CLASSES_ROOT\CLSID\{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}]

6. 删除木马创建的注册表信息：

[Copy to clipboard] [ - ]

CODE:

[HKEY_CURRENT_USER\Windows]

发布时间：2007-07-16 17:35

原文链接：http://www.cisrt.org/bbs/viewthread.php?tid=1527

类别：流行病毒解决方案 | 添加到搜藏 | 浏览() | 评论 (0)