许明会的计算机技术主页

Language:C,C++,.NET Framework(C#)
Thinking:Design Pattern,Algorithm,WPF,Windows Internals
Database:SQLServer,Oracle,MySQL,PostSQL
IT:MCITP,Exchange,Lync,Virtualization,CCNP

导航

一次木马的处理过程

用UltraISO制作了一个U盘Windows Server2012安装盘,在安装过程中总是提示MBR分区表不能采用EFI安装盘。尝试用DiskGenenius转换MBR分区为GPT分区,但是每次都报错。于是下载了4.2版本的最新版,免费版不支持MBR转GPT操作,于是下载了注册机注册。注册机执行后没有任何提示,而且也没有变成PRO版本,于是考虑可能注册机是木马了。

 

重启计算机后开机,系统有APP_CRASH,提示为“百度影音”,映像文件为explore.exe,明显是伪装的Explorer.exe。查看木马文件的日期,正式执行注册机的时间,于是断定为木马。查看木马文件explore.exe的路径,发现为

"C:\WINDOWS\inf\打印机.{2227a280-3aea-1069-a2de-08002b30309d}\explore.txt:explore.exe",明显伪装了打印机的伪目录,用WinRAR尝试打开目录并命名,提示没有权限,查看伪目录属性,因为伪装打印机所以也无法删除。用Autoruns分析也没有发现有启动项,很是奇怪。既然不能删除文件,于是运行 gpedit.msc 在用户策略里面添加禁止运行的程序explore.txt:explore.exe

 

用Process explorer查看,注意到explore.txt:explore.exe 进程打开的文件为 C:\Program Files\Common Files\microsoft shared\ink\10002985.840,尝试进入ink目录提示没有权限。 于是用Process Explorer将木马进程suspend,结果能进入ink目录了,然后删除840那个文件,新建一个同名文件并拒绝任何人读取,起到免疫作用。

 

重启系统,发现木马没有运行。但是对于那个伪目录怎么删除,还有系统为什么每次都执行这个进程依然迷茫。有清楚的欢迎告知。

posted on 2013-03-19 21:52  许明会  阅读(682)  评论(1编辑  收藏  举报