【CISRT2007100】木马 msvcrt.dll Relive.dll msvcrt.bak 解决方案

查看文章

2007-09-27 14:54

原文链接：http://www.cisrt.org/bbs/viewthread.php?tid=1531

档案编号：CISRT2007100
病毒名称：Virus.Win32.AutoRun.bk（Kaspersky）
病毒别名：Trojan.PSW.Win32.Agent.qs（瑞星）
病毒大小：23,087 字节
加壳方式：PE_Patch.UPX UPX
样本MD5：3d4d01638f3e206c7bbbde769a3f2182
样本SHA1：8d6d71216a588155554226efe84eed2c8011c38a
发现时间：2007.7.10
更新时间：2007.7.17
关联病毒：
传播方式：通过恶意网页传播，其它木马或病毒下载

技术分析
==========

变种：
【CISRT2007075】木马 romdrivers.dll romdrivers.bak 解决方案
【CISRT2007090】木马 msvcrt.dll Relive.dll msvcrt.bak 解决方案

木马运行后复制自身到：
%ProgramFiles%\Internet Explorer\msvcrt.bak
释放dll注入Explorer.exe进程：
%ProgramFiles%\Internet Explorer\msvcrt.dll
同时还创建msvcrt.dll的副本，作为BHO启动：
%ProgramFiles%\Common Files\Relive.dll

完整内容请访问：http://www.cisrt.org/bbs/viewthread.php?tid=1531

清除步骤
==========

1. 删除木马创建的注册表信息：

[Copy to clipboard] [ - ]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}"

[HKEY_CLASSES_ROOT\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}]

[HKEY_CLASSES_ROOT\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}]

2. 重新启动计算机

3. 删除木马相关文件：
%ProgramFiles%\Internet Explorer\msvcrt.bak
%ProgramFiles%\Internet Explorer\msvcrt.dll
%ProgramFiles%\Common Files\Relive.dll

4. 删除反病毒软件安装目录下的ws2_32.dll目录，可以使用rd /s命令，比如：

[Copy to clipboard] [ - ]

CODE:

rd /s C:\KAV2007\ws2_32.dll
rd /s "C:\Program Files\Rising\Rav\ws2_32.dll"

5. 创建%System%\drivers\etc\hosts文件：
内容为一行即可：

[Copy to clipboard] [ - ]

CODE:

127.0.0.1 localhost

发布时间：2007-07-17 10:41
更新时间：2007-07-17 18:10

原文链接：http://www.cisrt.org/bbs/viewthread.php?tid=1531

类别：流行病毒解决方案 | 添加到搜藏 | 浏览() | 评论 (0)