今天简单的查杀木马经历~好像还比较新~

einheria

昨天上网突然觉得很卡，当时也没有留意，估计就是那个时候中招了，也不记得当时咖啡有没有开……估计是没有开规则

今天开机发现主页被改，打开360查插件，觉得无异状。刚才手痒打开SSM，突然发现有名为apsvr.exe的进程试图启动app.exe，对这两个名字都非常陌生，而且我当时没有进行什么其他操作，于是GOOGLE一下，发现根本没有这个系统进程

打开任务管理器，发现其注册为SYSTEM的进程……尝试直接删除之，竟然直接关掉了

接下来就关掉咖啡打开冰刃，同时开蜘蛛起来搜……冰刃确定没有正在开启的相关进程后，察看服务，发现了它注册的一个服务，禁用之。

然后就跑去挖出来打包了……刚好这时候蜘蛛发出巨响……不负所托地把它翻出来了^-^

后来发现ZDNetChina有相关报告贴，下面摘取部分内容~


病毒症状
该病毒是一个使用VC6.0编写的木马程序，扩展名为exe，传播途径主要网页挂马、文件捆绑。

病毒分析
该木马程序激活后，在%systemroot%下生成app.exe和apsvr.exe两个文件；修改注册表将apsvr.exe注册成名为avsvr的系统服务；启动avsvr服务运行apsvr.exe程序；apsvr.exe运行后运行app.exe文件；遍历系统进程，强行结束360TRY.EXE、360SAFE.EXE、KPFW32.EXE等进程；修改IE主页为http://www.xrwz.com/，修改hosts文件；从网络下载另一文件并命名为inst.exe，下载之后开启一个进程运行inst.exe。

病毒注册表启动项(本人使用MCAFEE锁定,此处未感染)：
项：H_L_M\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：scApp
指向文件：C:\WINDOWS\system32\scApp.exe

一定程度内容参考ZDNetChina的相关贴

ps。我也不知道是不是应该发在这里……如果发得不对请转移，谢谢~

[ 本帖最后由 einheria 于 2007-10-7 11:51 编辑 ]

promised

看来我发的毒还是有意义的
还是有人中的

英仔

光華報二個

jimmyleo

--> apsvr.exe
      [DETECTION] Is the Trojan horse TR/Agent.bri.1
  --> app.exe
      [DETECTION] Contains suspicious code HEUR/Malware

promised

http://bbs.kafan.cn/viewthread.php?tid=134997

a256886572008

[ 本帖最后由 a256886572008 于 2007-10-7 11:53 编辑 ]

einheria

汗死，发晚了，不好意思了……

不愧是版主9月份就发现了……

另外大家回得好快……

[ 本帖最后由 einheria 于 2007-10-7 11:58 编辑 ]

jhtl

行为比较流氓

傻猪猪米走鸡

C:\Documents and Settings\Administrator\桌面\app.rar » RAR » app.exe - probably unknown NewHeur_PE virus
C:\Documents and Settings\Administrator\桌面\app.rar - probably unknown NewHeur_PE virus - deleted - quarantined

promised

我是通过下载者第一时间下到的
所以你们中之前我先中了