病毒名称:Trojan-PSW.Win32.OnLineGames.qw[dll](Kaspersky),Rootkit.Win32.Agent.fy[sys](Kaspersky)
病毒别名:Trojan.PSW.Win32.JHOnline.a[exe](瑞星),Trojan.PSW.Win32.OnlineGames.dba[dll](瑞星)
Trojan.PSW.Win32.JHOnline.a[sys](瑞星)
病毒大小:49,664字节
加壳方式:
样本MD5:335838f3badbc6532211e19988f008a9
样本SHA1:1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
发现时间:2007.7
更新时间:2007.7
关联病毒:
传播方式:通过恶意网站传播,其它木马下载
技术分析
==========
木马运行后复制自身到系统目录下:
%Windows%systemSMSS.exe
并释放dll:
%Windows%systemhook.dll
在当前位置释放驱动fOxkb.sys:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]
木马隐藏自身进程,在任务管理器、ProceXP等进程管理程序中不可见。
创建启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"QQREST"="%Windows%systemSMSS.exe"
约每5秒重写一次。
清除步骤
==========
1.使用IceSword结束木马进程:
%Windows%systemSMSS.exe
2.删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%Windows%systemSMSS.exe
%Windows%systemhook.dll
3.删除木马启动项(详细步骤:打开SREng-启动项目-注册表):SREng软件也可到down.45it.com下载
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"QQREST"="%Windows%systemSMSS.exe"
4.删除注册表中木马添加的驱动信息(详细步骤:打开SREng-启动项目-驱动程序):
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]
5.删除木马释放的驱动文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
fOxkb.sys
【手工查杀SMSS.exe hook.dll fOxkb.sys的方法】相关文章: