最初由 newsearch 发布
越来越毒了啊。cnbragon怎么搞定的,我也刚刚遇到。汗
spoolsv.exe只是这个马的表面,它只负责点击一个网页,提高其点击率
它的主要的模块是在c:\windows\system32\cryptchr.dll里,这个东西是这样加载的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
<WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation]
cryptchr.dll里导出SysLogon和SysLogOff两个函数,SysLogon函数
003E530C >/>mov dword ptr [3E767C], 6DDD00
003E5316 |>xor eax, eax
003E5318 |>mov [3E7680], eax
003E531D |>mov eax, 003E76A8
003E5322 |>call 003E35B4
003E5327 |>push 1
003E5329 |>push 0
003E532B |>push 003E52DC
003E5330 |>push 0
003E5332 |>mov eax, [3E60D8]
003E5337 |>push eax
003E5338 |>call <jmp.&winmm.timeSetEvent>
003E533D |>mov [3E7684], eax
003E5342 |>call 003E4C44
003E5347 |>call 003E4D60
003E534C \>retn
SysLogOff函数
003E5350 >/$ E8 3BFDFFFF call 003E5090
003E5355 |. 833D 84763E00 0>cmp dword ptr [3E7684], 0
003E535C |. 74 0B je short 003E5369
003E535E |. A1 84763E00 mov eax, [3E7684]
003E5363 |. 50 push eax
003E5364 |. E8 ABF7FFFF call <jmp.&winmm.timeKillEvent>
003E5369 \> C3 retn
彻底清除的步骤:
1. 终止spoolsv.exe
2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
<WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation]
3. 删除c:\windows\system32\cryptchr.dll
删除c:\windows\Temp\FileMap.dat
删除c:\windows\spoolsv.exe
删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西,特别是SDI_20061207[1].exe
删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西
BTW:好像是上了黄网才会感染,当时我开了卡巴,但那天卡巴的病毒库还查不出这个,但昨天升级的病毒库当中就可以查出来了,但也是除标不除本,只删除掉spoolsv.exe,没用。
还有,Rising给了回复,说会在新版本中加入对它的查杀,但因为我没有提到cryptchr.dll,估计他们也是除标不除本