Trojan.PSW.Lmir.lan(Ravdm.exe)的手工查杀
Trojan.PSW.Lmir.lan(瑞星名)Trojan-Downloader.Win32.Small.czl(咔吧)的小分析
在木蚂蚁见了一个会员sreng的曰志如下
<9><C:\WINDOWS\system32\Ravdm.exe>
pm了一下拿了样本
样本特性:
File size: 21409 bytes
MD5: 2fe82d870a2b1d806f70075e07adf90f
SHA1: 372141e24aa70396b38f12927ebeb027e20e7759
packers: FSG
文件属性:强制隐藏(隐藏不可修改)图1
http://hzqedison.b.lunqun.com/attachment/m139/39/67/39677/Mon_0608/7511_1657_7f90911dc0e9bcb.jpg
又是个假微软(图2)
http://hzqedison.b.lunqun.com/attachment/m139/39/67/39677/Mon_0608/7511_1657_543ea1991abd738.jpg
运行了一下,感觉和前几天自己分析的Rootkit.CallGate.a(wdm.exe)特性基本一样
运行样本结果
在注册表中添加
9= C:\WINDOWS\system32\Ravdm.exe
实现随系统启动自动运行
修改HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下Load的默认值为空
并且释放文件
C:\WINDOWS\system32\Ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
将QQ安装目录下的TIMPlatform.exe改名为TIMPlatfrom.exe,同时释放自身到QQ目录下,文件名为TIMPlatform.exe
解决方案
1.用sreng删除启动项目
<9><C:\WINDOWS\system32\Ravdm.exe>
(图3)
http://hzqedison.b.lunqun.com/attachment/m139/39/67/39677/Mon_0608/7511_1657_5348bd506a4ddfd.jpg
2.打开隐藏
取消文件隐藏模式方法:
1.打开任意文件夹窗口=》工具=》文件夹选项=》查看
2.取消隐藏受保护的系统文件前面的钩
3.选中显示所有文件和文件夹
4.取消隐藏已知文件类型扩展名前面的勾
3.删除C:\WINDOWS\system32\Ravdm.exe(有提示是系统文件,点是删除!)
4.重启系统
5.删除
C:\WINDOWS\system32\drivers\Rinld.sys
6.重命名C:\Program Files\Tencent\QQ\TIMPlatfrom.exe=>C:\Program Files\Tencent\QQ\TIMPlatform.exe(或者直接重新安装QQ) 大家继续顶!,太强了!
页:
[1]
