机器狗,phy.sys,Trojan-PSW.Win32.OnLineGames.noi

Simen.Resh@d

作者：孤独更可靠

文件名称：随机命名载体
文件大小：8332 byte
AV命名：
Win32.PSWTroj.Win32.77964（金山毒霸）
Trojan.PSW.Win32.OnlineGames.GEN（瑞星）
Trojan-PSW.Win32.OnLineGames.noi（卡巴斯基）
中文名称：机器狗
加壳方式：Upack V0.37
文件MD5：bcc161e0f87701c0c691ac9073fa4d75
行为分析：
1、 释放文件：
C:\Documents and Settings\孤独更可靠\Local Settings\Temp\tmp10.tmp
C:\WINDOWS\system32\drivers\phy.sys
2、 驱动phy.sys成功加载后，修改系统文件（其中一个）：
explorer.exe
ctfmon.exe
conime.exe
把tmp10.tmp写入其中。
3、 连接网络，获得下载列表：h**p://new.749571.com/new.txt。
下载30个盗号木马。
保存至Temp文件夹tmp11.tmp—tmp30.tmp并执行
解决方法：
1、 重启计算机，按F8进入安全模式。
2、 从C:\WINDOWS\system32\dllcache内把explorer.exe、ctfmon.exe、conime.exe拷贝出来并覆盖到相应的位置。
3、 删除硬盘文件：
C:\WINDOWS\system32\drivers\phy.sys
4、 清空所有临时文件夹。
暂时免疫方法：
md %systemroot%\system32\drivers\phy.sys\mianyi...\
cacls %systemroot%\system32\drivers\phy.sys /e /p everyone:n
保存为批处理，当免疫其驱动时，它就无法做其他的工作了