自己查杀NewInfo.rxk病毒流程

nainiu001

星期五晚上正在上网的时候听到耳机里面传来很有规律的“滴滴”音乐声，以为是网页中的音乐，随手关掉网页后发现仍然有声音，顿时感觉应该是中毒了，果然Mcafee弹出窗口提示Internet Explorer目录下的一个文件有病毒。启动任务管理器发现进程中依然有iexplorer.exe,虽然我已经关闭了IE,打开我的电脑之后Mcafee又报提示LOCAL SETTINGS\TEMP\ZT.EXE        PWS-LegMir.gen.b () 同时还有其他的几个wl.exe，qq.exe,cq.exe,gz.exe

查杀windows目录没有发现病毒，首先打开冰刃查看进程没有发现可疑进程,于是新建一条规则阻止任何文件在Temp文件夹中创建.exe文件，通过mcafee的访问保护日志看出是Explorer.exe写入的.断定是Explorer.exe中插入了病毒文件，于是打算分析explorer.exe进程，为了能够查看explorer.exe里面的各个模块的修改时间我采用的是瑞星卡卡，在冰刃中是不能直接查看出来各个模块的修改时间的.

在explorer.exe里面发现最近修改的一个模块是NewInfo.rxk文件，位于%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下,强行禁止该模块后发现mcafee不再报警，确认是该文件有问题,上网搜索，果然发现相关信息如下：

病毒种类：键盘记录木马
加壳方式：UPX 0.89.6 - 1.02 / 1.05 - 1.24 ＋修改程序入口点
编写语言：Borland Delphi 6.0 - 7.0
指纹效验：
SHA-160       : C64507BB60497774670B6A2B1BD02A106EEE3067
MD5           : 8F8EA016A7D0D2FE3EF1BB338DA8D087
RIPEMD-160    : FB8B9BDAEB64A869521A47AC0DC478B8E313DEC5
CRC-32        : 14E94F72
测试平台：win2000PROSP4+VM

病毒行为：
病毒system.bat运行后在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下生成NewInfo.bak、NewInfo.rxk、system.2dt三个文件，经测试system.2dt为 system.bat的副本文件，NewInfo.bak为NewInfo.rxk的备份文件，将 NewInfo.rxk作为线程注入到explorer.exe进程中，修改注册表达到自启动目的。
注册表修改：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>

病毒查杀：
找到病毒释放的路径，删除文件NewInfo.bak、system.2dt，对NewInfo.rxk进行强制删除，到病毒目录下查看，如果文件已经被删除，清理注册表，重启计算机后杀毒完毕。

以上就是查杀这个木马的过程，这个木马与一般的木马不一样的地方在于它并不是在windows目录下面创建任何dll或者是exe文件,而是从大家都不注意的Common Files目录着手,如果没有System Safety Monitor等能实时查看进程插入的工具还真是不容易发现病毒藏身之处.

zzybwdb_2007

感谢楼主分享经验~~~~又学习了一招~~

Mirros

不错。。我一个朋友就是中这个了。。。。

idey

这个病毒有趣

可乐戒指

我上个星期也中了这个木马，好在它不难对付，用冰刃能轻易干掉它。