【原创】阴狠的hgz.exe木马★★★★
有一位会员给的样本,忘记了名字,不好意思哈.
这个hgz.exe只是一个下载器(才11KB),负责下载木马.
木马行为:
运行后,
生成C:\win30.exe
%system%\mstcf.dll(木马通过它设置全局钩子)
创建文件夹
C:\Program Files\Internet Explorer\PLUGINS
下有一个文件:new123.sys,木马win30.exe利用这个文件加载并注入explorer.exe进程
在C:\下载创建文件:autoexec.bat,里面内容如下:
:try
del "c:\win30.exe
if exist "c:\win30.exe goto try
del %0企图在感染完成后,删除木马源文件
扫描HijackThis日志,无任何异常.
扫出Autoruns,才发现:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ new123.sys=c:\program files\internet explorer\plugins\new123.sys
采用了一种较为罕见的注入方式.
注册表还添加了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32]
@="C:\\Program Files\\Internet Explorer\\PLUGINS\\new123.sys"
"ThreadingModel"="Apartment"达到加载驱动的目的
清除方法:
结束explorer.exe进程.
删除C:\Program Files\Internet Explorer\PLUGINS\new123.sys(这是隐藏文件,请显示隐藏文件与系统文件后删除.)
清理注册表:
删除:[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
new123.sys=c:\program files\internet explorer\plugins\new123.sys
删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}]
删除C:\autoexec.bat
重启系统
如果有C:\win30.exe,那么删除它.
删除:hgz.exe
删除:%system%\mstcf.dll
清空临时文件夹
请教baohe版主,这个木马似乎没有EXE可执行文件啊.怎么找到?