【SSM实战举例】灭掉Rootkit.Win32.Vanti.e
收到网友发来的conn.exe样本。这是个木马,但卡巴斯基今天的病毒库并不报毒。有意思的是,卡巴斯基报conn.exe释放的2l79fw.dll为rootkit木马(图1)。
尝试用SSM杀灭此马。
1、在SSM的“规则”中禁止conn.exe和2l79fw.dll加载(图2)。并将SSM设置为“自动加载”。
2、重启系统。观察SSM的进程列表,发现其中有IE进程(此时,我并没开IE浏览器)。先用SSM暂时禁止IEXPLORE.EXE运行,并结束IEXPLORE.EXE进程(图3)。
3、然后,尝试删除conn.exe和2l79fw.dll。成功(图4)。
4、最后,清理一下注册表:
展开:HKLM\System\CurrentControlSet\Services
删除:NSLHA(指向C:\WINDOWS\system32\conn.exe)
图1