|
sna.exe是中了一个木马下载器(downloader.exe)后下载到系统目录system32中的。
sna.exe运行后,通过80端口访问网络,下载木马。下载的木马主体程序为c:\WINDOWS\system32\wbem\lsass.exe。
特点:中了这个lsass.exe后,目前常用的日志扫描工具SREng、HijackThis v1.99.1、autoruns等均扫不到异常项目。
但SSM或IceSword的进程列表中可见lsass.exe进程(dll文件图标,路径为c:\WINDOWS\system32\wbem\lsass.exe;见图1)。
一、sna.exe下载的木马文件有:
c:\WINDOWS\system32\wbem\lsass.exe
c:\WINDOWS\system32\wbem\sholl32.dll
C:\WINDOWS\system32\ntworkstan.dll
C:\WINDOWS\system32\wnttech.dll
C:\WINDOWS\system32\advwhes.dll
C:\WINDOWS\system32\wmsnds32.dll
二、注册表改动:
(1)在HKEY_CLASSES_ROOT\CLSID\分支添加:
{C574040B-C11C-41EF-8401-E2AF6F5F6841}
(2)在HKEY_CLASSES_ROOT\TypeLib\分支添加:
{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
(3)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加:
NTWorkStan
(4)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加:
wnttech
(5)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支添加:
"C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32
\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"
三、杀毒流程:
1、、结束进程lsass.exe(路径c:\WINDOWS\system32\wbem\lsass.exe)
2、、清理注册表:
(1)展开:HKEY_CLASSES_ROOT\CLSID\
删除:{C574040B-C11C-41EF-8401-E2AF6F5F6841}
【注】删除此键时可供核对的信息:
HKEY_CLASSES_ROOT\CLSID\{C574040B-C11C-41EF-8401-E2AF6F5F6841}\LocalServer32的默认值为:
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"
(2)展开:HKEY_CLASSES_ROOT\TypeLib\
删除:{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
【注】删除此键时可供核对的信息:HKEY_CLASSES_ROOT\TypeLib\{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}\1.0\0\win32的默认值为:
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"
(3)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:NTWorkStan
【注】删除此键时可供核对的信息:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTWorkStan\Parameters的默认值为:
"ServiceDll"="C:\WINDOWS\system32\ntworkstan.dll"
(4)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:wnttech
【注】删除此键时可供核对的信息:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnttech\Parameters的默认值为:
"ServiceDll"="C:\WINDOWS\system32\wnttech.dll"
(5)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除:"C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\
\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"
图1
|
3、重启系统。显示隐藏文件。删除下列文件(见图2)。
图2
|
| 
