今天有网友发给我了一个魔兽木马样本。
我运行了一下。
自动启动项里 自动添加了一项。
然后我查看进程,表面上进程都很正常。
然后我扫描进程模块。发现了这个东东。
好吧我忘了抓图了。。总之是个很长名字的DLL文件。。注入在里面。。
我自己先把木马自启动项删除。过了一会发现木马的另外一个衍生物出现了。
用狙剑锁定系统找到进程里的模块反注册然后删除,分别把自动启动项目里的文件和注册表项删除。等待5秒。强制重启。。小马儿死了。
