【原创】警惕一个alexa_ad的后门程序(附上解决方案)
这二天,总觉得系统有点异常。但是通过hijackthis查不出原因来。后来通过若干手段,终于把这个后门给揪出来了。
中标后现象:
进程中会15分钟左右多出一个X:\program files\internet explorer\iexplore.exe -k http://www.xxxx.xxx/xxx.htm 的进程。XXX为后门连接的网址。
用任务栏管理器结束还会出现。
后门简单分析:
通过反汇编后门程序,发现后门是通过explorer加载的。可以看到在注册表中HKLM\software\microsoft\windows\currentversion\policies\explorer\run中有一个alexa的子键,键值为"X:/XXXX/XXXX/qproecss.exe",XXX为系统盘符路径。还有一个ver的子键,键值为"2006.10.10",应该是版本号了。
同时发现,还有一个dll保护进程,名称是ineptpui.dll。所以用常规方法不容易删除。
清除方法:
在清除后门前,请确保系统是查看所有文件及可视系统文件。另外,win98用户请勿使用此法。
1、首先。用任务栏管理器结束explorer。通过任务栏管理器的浏览功能,找到在system32文件夹下面的qproecss.exe,注意,有一个正常系统名为qprocess.exe。不要搞错了。清除了之后再找ineptpui.dll,当这二个都清除后,再找到explorer。打开explorer。
2、清注册表。打开注册表,找到HKLM\software\microsoft\windows\currentversion\policies\explorer\run
将下面的alexa子键和ver子键删除。。
3、重启电脑就可以收工了。。
最后。BS一样这样刷网站流量的人呀。。
有空常来飘云阁看看。。
也可以去www.av5.cn坐坐。。也话有好东东哦。。 谢谢提醒啊....学习下了 你是怎么发现这个隐藏的后门的?
看起来他对系统的正常运行影响不是很大...
是通过任务管理器才发觉的吗?
那样的话你就太细心了,要是一般人恐怕不会那么仔细的观察15分钟来找出一个新的生成的进程的吧...
知道了木马的名称 和注册表的位置,还有起守护进程一般手工还是很容易解决的...
祝贺你..
页:
[1]