ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 5871|回复: 1

[转帖] Trojan.PSW.Lmir.lan(Ravdm.exe)的手工查杀

[复制链接]
发表于 2006-11-29 11:13:59 | 显示全部楼层 |阅读模式
Trojan.PSW.Lmir.lan(瑞星名)
Trojan-Downloader.Win32.Small.czl(咔吧)的小分析
在木蚂蚁见了一个会员sreng的曰志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
  <9><C:\WINDOWS\system32\Ravdm.exe> [Microsoft Corporation]


pm了一下拿了样本

样本特性:
File size: 21409 bytes
MD5: 2fe82d870a2b1d806f70075e07adf90f
SHA1: 372141e24aa70396b38f12927ebeb027e20e7759
packers: FSG
文件属性:强制隐藏(隐藏不可修改)图1

又是个假微软(图2)

运行了一下,感觉和前几天自己分析的Rootkit.CallGate.a(wdm.exe)特性基本一样


运行样本结果
在注册表中添加
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
9= C:\WINDOWS\system32\Ravdm.exe
实现随系统启动自动运行

修改HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下Load的默认值为空

并且释放文件
C:\WINDOWS\system32\Ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
将QQ安装目录下的TIMPlatform.exe改名为TIMPlatfrom.exe,同时释放自身到QQ目录下,文件名为TIMPlatform.exe

解决方案
1.用sreng删除启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
  <9><C:\WINDOWS\system32\Ravdm.exe> [Microsoft Corporation]
(图3)


2.打开隐藏
取消文件隐藏模式方法:
1.打开任意文件夹窗口=》工具=》文件夹选项=》查看
2.取消隐藏受保护的系统文件前面的钩
3.选中显示所有文件和文件夹
4.取消隐藏已知文件类型扩展名前面的勾

3.删除C:\WINDOWS\system32\Ravdm.exe(有提示是系统文件,点是删除!)

4.重启系统

5.删除
C:\WINDOWS\system32\drivers\Rinld.sys

6.重命名C:\Program Files\Tencent\QQ\TIMPlatfrom.exe=>C:\Program Files\Tencent\QQ\TIMPlatform.exe(或者直接重新安装QQ)
发表于 2008-3-6 10:28:12 | 显示全部楼层
大家继续顶!,太强了!
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-3-28 16:00

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表