文件:PEID9.4无法查出它的壳 没有虚拟机 所以没有进一步分析 诺顿报的Adware.Look2Me 广告软件 隔一段时间就用IE打开一个网站 不过诺顿杀不干净
症状:
病毒利用HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify实现自启动作为Winlogon进程的一个模块,并监视注册表该项,如果该项被删除的话就自动恢复之。并且挂钩了
注册表写相关的系统调用,使得没有办法通过注册表编辑器修改该项。用icesword直接卸载改模块不能成功,强制卸载会直接导致系统挂掉。从技术上讲,这样的木马没有使用什么高深的底层技术
,但是这几个特点结合起来却给清除工作带来了比较大的阻力,尤其是在2k终端没有调试权限的情况下更没有很好的办法。
解决:
使用一个比较无赖的办法,思路就是做一个程序不停的清除注册表项,然后用icesword强制卸载Winlogon进程中的那个模块导致系统挂掉重起,结果成功,能成功估计也是因为该程序在监视注册表
项时作了短暂的sleep来减少cpu占用率,而我们自己的程序不sleep,所以能保证把注册表清除的几率很大。我使用了一个vbs脚本来做清除工作。
程序:
--------clear.vbs-------
strPath = "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify"Set oShell = WScript.CreateObject("WScript.Shell")On Error Resume NextWhile True oShell.RegDelete strPath & "\CSCSettings\"Wend