昨天在本论坛看网友日志时发现其中一个启动项可疑：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation]

印象中C:\WINDOWS\system32\目录下没wdm.exe这么个程序啊。于是向提问者索要样本。

收到样本后看了一下其版本信息（图1），第一眼并没看出什么异样。
找个真正的微软程序，打开版本信息比较一下（图2）——马脚露出来了！

在桌面打开运行后，这个wdm.exe释放下列文件：
C:\WINDOWS\system32\wdm.exe
C:\WINDOWS\system32\drivers\ksld.sys
C:\Program Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
添加注册表项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><>  []

重启系统后发现ksld.sys通过wdm.exe加载；ADSL虚拟拨号程序自动运行。
此后，用户每进行一步操作，进程列表中增加一个iexplore.exe进程（尽管此时并未打开IE浏览器）。用SSM禁止iexplore.exe运行，无效！（图3）。

查看MD5发现：wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe是同一个程序。原来QQ里面的正常TIMPlatform.exe已不复存在！（图4）。

杀毒流程：
1、用SSM禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载。
2、重启。删除上述文件。清理注册表。
3、卸载QQ重新安装。

图1

图2

图3

图4

看来看东西还要仔细才行

学习~~~
这木马我以前以为是微软的..........

这个不是昨天发过么?

引用:

【mopery的贴子】这个不是昨天发过么? ………………

昨天写的很糙。

今天Virustotal的扫描结果：


AntiVir    6.35.1.0    08.12.2006    HEUR/Malware.FKM   
Authentium    4.93.8    08.13.2006    no virus found   
Avast    4.7.844.0    08.10.2006    no virus found   
AVG    386    08.11.2006    no virus found   
BitDefender    7.2    08.13.2006    no virus found   
CAT-QuickHeal    8.00    08.12.2006    (Suspicious) - DNAScan   
ClamAV    devel-20060426    08.13.2006    no virus found   
DrWeb    4.33    08.12.2006    BACKDOOR.Trojan   
eTrust-InoculateIT    23.72.94    08.12.2006    no virus found   
eTrust-Vet    30.3.3016    08.13.2006    no virus found   
Ewido    4.0    08.12.2006    no virus found   
Fortinet    2.77.0.0    08.12.2006    suspicious   
F-Prot    3.16f    08.13.2006    no virus found   
F-Prot4    4.2.1.29    08.13.2006    no virus found   
Ikarus    0.2.65.0    08.11.2006    no virus found   
Kaspersky    4.0.2.24    08.13.2006    no virus found   
McAfee    4827    08.11.2006    no virus found   
Microsoft    1.1508    08.04.2006    no virus found   
NOD32v2    1.1704    08.11.2006    probably unknown NewHeur_PE virus   
Norman    5.90.23    08.11.2006    Suspicious_F.gen   
Panda    9.0.0.4    08.12.2006    Suspicious file   
Sophos    4.08.0    08.13.2006    no virus found   
Symantec    8.0    08.13.2006    no virus found   
TheHacker    5.9.8.191    08.13.2006    no virus found   
UNA    1.83    08.11.2006    Win32.virus   
VBA32    3.11.0    08.13.2006    no virus found   
VirusBuster    4.3.7:9    08.12.2006    no virus found

补充一句：
如果先关闭SSM，运行这只木马，再运行SSM时——报错：SSM的驱动没有加载。
重启系统，SSM才能正常运行。
看来，这马还有点儿意思！

太狡猾的木马，版主要是没 提醒，看日志的时候一顶漏过去。