endurer 原创
2006-06-26 第3版 补充:Kaspersky确认为病毒:Trojan.Win32.Agent.ut
2006-06-26 第2版 补充:Kaspersky(2006-06-26 09:06:15)、江民KV2006引擎版本:9.02.2040病毒库日期:2006-06-26均不报。
2006-06-25 第1版
一位网友说,他的电脑最近不定时地浏览网页有时候很慢,有时候会弹出个莫名其妙的网页hxxp://www.88u.com。并发来了HijackThis扫描的log。
在log中,发现如下可疑项目:
O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:/WINDOWS/stdie.dll
O4 - HKCU/../Run: [LocalSystem] C:/WINDOWS/system/svchost.exe
回复后,该网友将两个文件打包发了过来。
其中:svchost.exe瑞星报为Trojan.DL.Agent.alb
此文件是用Microsoft Visual C++ 7.0 [Debug]写的
通过创建命名管道MicPIP下载:
hxxp://www.ad***369.com/filmweb/webad.asp
hxxp://www.ad***369.com/filmweb/file.asp
hxxp://www.ad***369.com/filmweb/file.dat
hxxp://www.ad***369.com/filmweb/ehu.up
创建文件
1、%windir%/setupsvc.txt
2、%USERPROFILE%/Local Settings/Temp/run1.bat
文件内容为:
rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 drv1.inf
3、%USERPROFILE%/Local Settings/Temp//drv1.inf
文件内容为:
[Version]
Signature="$Windows NT$"
[DefaultInstall]
DELREG=Mydel
[Mydel]
HKCU,Software/Microsoft/Windows/CurrentVersion/Policies/System,DisableRegistryTools
4、netinfo.xml
5、%windir%/system/svchost.exe
6、%windir%/system/netshell.dll
7、%windir%/netshell.dll
修改注册表多个键值
其中最重要的一项是:
Software/Microsoft/Windows/CurrentVersion/Policies/Explorer %s.dll
来加载netshell.dll。
HijackThis的简明log中不会报告这一项。