资源描述:
《木马群smss.exe、ntldr.exe、oohxcbyt.dll、mmshylqe1061.dll、fdght.dll等的浅析与清》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、木马群smss.exe、ntldr.exe、oohxcbyt.dll、MMSHYLQE1061.dll、fdght.dll等的浅析与清~教育资源库 一、浅析病毒行为: 1、样本下载下来,用卡巴扫描了下,能够认得出来。 分别为木马Trojan-Clicker.html.Iframe.p.SS.EXE后,病毒行为如下: 向字体文件夹写入文件: C:MSHYLQE1061.dll C:MHADPQG1076.dll C:MKAFNFMMYSBDR1056.dll C:on64.dll C:on64.exE 向IE安装目录中写入以下文件,插入IE进程中: C
2、:ProgramFilesInterExplorerPLUGINSNt_Sys32.Sys 往注册表中写入以下项目劫持(该项目我在清除的时候没有发现有映像劫持项目,但SSM明明有提示该注册项目的写入,奇怪。。。): HKEY_LOCAL_MACHINESOFTicrosoftACHINESOFTicrosoftain.exe HKEY_LOCAL_MACHINESOFTicrosoftss.exe调用IE,连接网络,下载木马,具体链接的网页是何内容没做测试。1234下一页友情提醒:,特别! 同时SMSS.EXE直接连接IP121.15.247.46和125.91.
3、11.7,目的不清楚,不懂如何详细测试。 自动监控网络是否连通,连通的话开始活动。 该项很有趣,我在第一次运行后重新启动时,切断了虚拟机的网络链接,结果重启后进入系统非常安静,SSM没做任何提示。 再次重启,同时打开虚拟机的网络链接,病毒活动才继续进行。 不过时间关系,没做多次测试。 二、病毒的清除: 操作前关闭系统还原功能,清空IE缓存文件!! 下载Xdelbox,导入以下文件后,勾选抑制再生,右击选择立刻重启删除文件。重启后会弹出N个窗口出来,属于正常现象,按第二步操作即可。 C:on64.exE C:MSHYLQE1061.dll C:MHADP
4、QG1076.dll C:MKAFNFMMYSBDR1056.dll C:on64.dll C:E~1ADMINI~1LOCALS~1TemptmpE.tmp C:ACHINESoftr.exe>[N/A] <MSDHG32><LYLoadhr.exe>[N/A] <MSDQG32><LYLoadqr.exe>[N/A] <TBMonEx><C:WINDOWSFontssyn00-0C-29-36-C1上一页1234下一页友情提醒:,特别!-B5systemsmss.exe>[]
5、 <inudhya><C:on64><C:on64.exE>[] [HKEY_LOCAL_MACHINESOFTicrosoftMSHYLQE1061.dll>[] <{398C9B84-4EF7-47B5-9862-DE29543B3C42}><C:ProgramFilesInterExplorerPLUGINSNt_Sys32.Sys>[N/A] <{a7aac22d-0bc2-48fa-9196-f43fef7f8cda}><C:MHADPQG1076.dll>[] &
6、lt;{4d2bc08b-66c7-4c40-9dd2-ff2c649c3655}><C:MKAFNFMMYSBDR1056.dll>[] <{22a9b025-f935-4b08-a5a6-2ca15a0fab7a}><C:ACHINESoft.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll, xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,
7、xfng.dll,njritc.dll,chmfcmh.dll,jnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll, hktrre.dll,jyjlt.dll,ijatnarjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll, bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,adash;服
