技術分析
這是一個WOW木馬,文件名和啟動項看上去會讓人以為它是WOW的遊戲程序,運行後複製自身到係統目錄%System%\Launcher.exe,釋放%System%\mywow.dll注入進程,創建啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wow"="%System%\Launcher.exe"
清除步驟
1. 刪除木馬的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wow"="%System%\Launcher.exe"
2. 重新啟動計算機
3. 安全模式下刪除木馬文件:
%System%\Launcher.exe
%System%\mywow.dll
===============================================
木馬來源:未知
如何判斷:
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\system32\mywow.dll
C:\WINDOWS\system32\systema.dll
C:\WINDOWS\system32\systemb.exe
C:\WINDOWS\system32\myztr.dll
C:\WINDOWS\system32\systemd.exe
發現以上文件者即中毒
大部分殺毒軟件目前無法查殺,可找有經驗的人手工查殺,注意修改密碼.
Ctrl+Alt+Del,中止msime.exe
運行regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
刪除{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}項
HKEY_CLASSES_ROOT\CLSID\{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}
刪除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit項目
默認應該是C:\WINDOWS\system32\userinit.exe,
刪除後麵的C:\WINDOWS\system32\explore.exe,C:\WINDOWS\system32\Launcher.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
刪除{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}
重新啟動計算機,刪除
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\system32\mywow.dll
C:\WINDOWS\system32\systema.dll
C:\WINDOWS\system32\systemb.exe
C:\WINDOWS\system32\myztr.dll
C:\WINDOWS\system32\systemd.exe
木馬查殺完畢。