--勉励自己努力以钉子的“挤”劲和“钻”劲提升自己
 :: Blog List ::
钉子 发表于 2006-1-5 10:43:04
近期发现有很多网页上有一个叫“冰狐浪子”的木马,其英文名一般为icyfox.js文件,会释放木马,有不少网友也中了此木马。我去亲自中了一个网站(qq92.com)上的该木马,写了一下简单的分析报告和手工清除方案,希望能给大家在清除过程中提供帮助!
技术报告:

1.该木马被运行后,会在系统中生成以下文件:c:/%System%/smss.exe,c:/%System%/system33.exe,c:/%System%/fox.exe,c:/%System%/system32/winpass.exe,c:/%System%/system32/pj.exe,c:/%System%/system32/winsym.exe。(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt)

2.会在注册表中生成HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt)

手工清除方案:

1.打开任务管理器(ctrl+alt+del),终止一个叫winsym.exe的进程。(或者直接进入安全模式)

2.删除c:/%System%/smss.exe,c:/%System%/system33.exe,c:/%System%/fox.exe,c:/%System%/system32/winpass.exe,c:/%System%/system32/pj.exe,c:/%System%/system32/winsym.exe文件(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt)。

3.打开注册表编辑器(开始,运行,regedit),定位到

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt),删除smss键值。

发表评论:

    昵称:
    密码: (游客无须输入密码)
    主页:
    标题:
Best view with 1024 x 768 pixel & IE 6.0.
About Me
Archives Categories
Replies List
My FriendLinks
Blog Info

Powered by Oblog.