好了,简单分析下:
1、释放文件方面:
2个SYS文件,其中一个是PE文件,病毒的副本。
wxptdi.sys 77824 字节
fat32.sys
注意啊,这2个的路径都是在C:\windows\system32\下的
2、调用一个P处理tmipo.bat,执行stop sharedaccess命令。
3、控制系统文件svchost,加载在内存中。
4、连接网络先获得下载列表:http://d.93se.com/listo.txt
然后下载木马,释放到c:\Program Files\,命名为:
c:\Program Files\lsassu.exe
c:\Program Files\lsasst.exe
c:\Program Files\lsasss.exe
c:\Program Files\lsassr.exe
c:\Program Files\lsassq.exe
c:\Program Files\lsassp.exe
c:\Program Files\lsasso.exe
c:\Program Files\lsassn.exe
c:\Program Files\lsassm.exe
c:\Program Files\lsassl.exe
c:\Program Files\lsassk.exe
c:\Program Files\lsassj.exe
c:\Program Files\lsassi.exe
c:\Program Files\lsassh.exe
c:\Program Files\lsassf.exe
c:\Program Files\lsasse.exe
c:\Program Files\lsassd.exe
c:\Program Files\lsassc.exe
c:\Program Files\lsassb.exe
c:\Program Files\lsassa.exe
c:\Program Files\lsass9.exe
c:\Program Files\lsass8.exe
c:\Program Files\lsass7.exe
c:\Program Files\lsass6.exe
c:\Program Files\lsass5.exe
c:\Program Files\lsass4.exe
c:\Program Files\lsass3.exe
c:\Program Files\lsass2.exe
c:\Program Files\lsass1.exe
c:\Program Files\lsass0.exe
有大话、梦幻、征途、三国、QQ、QQgame、机战、魔域、大话3、传奇等木马。
5、释放fat32.sys驱动,注册为PciHardDisk。
会访问磁盘底层,修改userinit.exe。但我阻止了~
其他没跟踪,就直接运行了~主要特征就是上面这些。
解决方法就是从dllcache把正常的userinit.exe覆盖到原来的地方。
然后删除c:\Program Files\的那些东西,还有wxptdi.sys和fat32.sys。
注意啊,这2个的路径都是在C:\windows\system32\下的
C:\windows\system32\fat32.sys
C:\windows\system32\wxptdi.sys
