转帖:警惕黑客门木马后门病毒
Backdoor.Win32.Haxdoor.hw病毒为系统内核级病毒,通过修改系统服务调度表(SSDT),HOOK掉病毒释放的附属文件、进程名,并插入线程到系统进程中,给清除病毒体带来极大困难。首先,病毒释放驱动文件并加载,然后在用户空间可以通过直接读写\device\physicalmemory来修改SSDT的入口,从而可拦截系统调用API函数,当有查询或创建与病毒释放文件同名的事件发生时,即刻过滤掉。病毒通过创建系统服务的形式加载病毒体。该病毒可被人利用来控制用户电脑。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 打开注册表,删除下列服务项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yvpp01\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yvpp02\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvpp01\DllName
(2) 重启电脑,利用木马防线删除下列文件:
%system32%\ips.dat
%system32%\kgctini.dat
%system32%\qo.dll
%system32%\qo.sys
%system32%\yvpp01.dll
%system32%\yvpp01.sys
%system32%\yvpp02.sys
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare 键值: 字符串: "%WINDOWS%\system32\drivers\spoclsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System 键值: 字符串: "%Program Files%\Common Files\System\Updaterun.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\alsmt.exe 键值: 字符串: "%WINdir\system32\alsmt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\InprocServer32\@
键值: 字符串: "C:\WINDOWS\system32\ybzwkdjnrfvijev.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\InprocServer32\ThreadingModel 键值: 字符串: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\
相关链接请参见:http://www.antiy.com/security/report/20070124.htm
|
