病毒分析
1、此馬直接釋放的檔案有:
c:\WINDOWS\system32\webpnt.exe
c:\WINDOWS\system32\webprint.exe
2、添加的註冊表服務項為:
WebPrint
SREng日誌中見到的是:
[WebPrint/WebPrint][Stopped/autostart]
3、c:\WINDOWS\system32\webpnt.exe運行後開啟IE,修改IE記憶體,訪問http://www.haveip.com/index.htm。
此後,SSM報告:IE通過命令行"C:\ProgramFiles\Rising\KakaToolBar\Rsaupd.exe"AutoUpdate運行Rsaupd.exe並修改Rsaupd.exe記憶體。允許後,webpnt.exe通過IE假冒“卡卡助手”升級訪問網路,下載木馬。
實際下載的內容是http://sf.sf325.com:80/kyo/qq.exe(被我的IDM搞到了我的download資料夾而未自動運行),而非真正升級卡卡助手。
解決辦法
安全模式下(開機後不斷按F8鍵然後出來一個高級選單選擇第一項安全模式進入系統)
打開sreng
“啟動項目”-“服務”-“Win32服務應用程式”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設定”,在彈出的框中點“否”:
WebPrint/WebPrint
雙擊我的電腦,工具,資料夾選項,查看,單擊選取"顯示隱藏檔案或資料夾"並清除"隱藏受保護的作業系統檔案(推薦)"前面的鉤。在提示確定更改時,單擊“是”然後確定
然後刪除
c:\windows\system32\webprint.exe
c:\windows\system32\webpnt.exe
