本文介绍了一种利用soundmix.dll文件进行传播的病毒及其解决方案,并讨论了一个通过U盘传播的木马(Kaspersky报为:Trojan-Downloader.Win32.Smaill.ecw,瑞星报为:Trojan.DL.Multi.wfg)。通过使用作者自制的pe_xscan程序成功检测并解决了这些问题。
endurer 原创
2006-12-21 第1版
今天上午,有位网友说他的电脑查杀病毒后开机时弹出提示框,说找不到文件 soundmix.dll,让偶帮忙处理。
这个东东以前遇到过,见
使用了 rootkit 技术的 soundmix.dll
http://endurer.bokee.com/5790021.html
http://blog.youkuaiyun.com/purpleendurer/archive/2006/10/24/1349155.aspx
它是利用组策略来启动,在HijackThis的简明log中看不到,但在启动项列表中可以看到。
这里试试正在写的类HijackThis的系统分析程序 pe_xscan。
在pe_xscan 的 log中可以直接看到 soundmix.dll 这个东东的启动项了:
/-------------
pe_xscan by Purple Endurer
2006-12-21 8:50:57
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O4 - HKLM/../Policies/Explorer/Run: [DTService] rundll32.exe C:/WINDOWS/system32/soundmix.dll,Load
/-------------/
下午又遇到通过U盘等移动存储介质传播的
/----------
sss.exe(Kaspersky报为:Trojan-Downloader.Win32.Smaill.ecw,瑞星报为:Trojan.DL.Multi.wfg)
autorun.inf
scvhsot.exe(Kaspersky未测试,瑞星报为:Trojan.DL.Multi.wfg)
----------/
pe_xscan 的表现也不错,争取明天整理发出来^_^。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
