我已把此木马样本传到以下链接:http://download.csdn.net/detail/cs08211317dn/4096819


一.大致描述:

1.      样本名称:z.exe

2.      家族名: PWS:Win32/Zuten.gen!D(MIcrosoft)

3.      MD5:E298C3D646F3F25F2DE7DA8509A3D3B0

4.      技术细节大致描述: 木马释放两个.ocx文件,修改explorer.exe内存,使其以模块的方式调用这两个.ocx文件;并将其中一个.ocx文件注册为输入法以达到自启动并注入其他进程的目的。



二、技术细节

1.      进程 z.exe创建文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx,并修改explorer.exe的内存让explorer.exe进程加载模块C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。

2.      进程z.exe创建文件c:\windows\system32\jahjah13.exe。

进程 c:\windows\system32\jahjah13.exe删除文件z.exe并修改注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Ime File的值为MGT99008.OCX,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout Text的值为US,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout File的值为kbdus.dll。以达到将MGT99008.OCX注册为输入法,随机自启动,并注入所有以explorer.exe为父进程的进程(包括notepad.exe)。

注册表截图如下:

木马文件注入情况截图如下:

三、手杀方案

1.       方案1

(1)      删除注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804,使得文件C:\WINDOWS\system32\mgt99008.ocx无法作为输入法自启动。

(2)      重启计算机后,删除文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。

(3)      删除文件c:\windows\system32\jahjah13.exe。

2.       方案2

(1)用powertool“强行卸载模块并删除模块文件”处理成功。截图如下:

如果用普通卸载模块或者强行卸载模块都会失败。

(2)删除文件c:\windows\system32\jahjah13.exe。

一个注册为输入法的木马分析相关推荐

  1. python输入中文教程_如何用Python从头开始实现一个中文拼音输入法?

    中文输入法是一个历史悠久的问题,但也实在是个繁琐的活,不知道这是不是网上很少有人分享中文拼音输入法的原因,接着这次NLP Project的机会,我觉得实现一发中文拼音输入法,看看水有多深,结果发现还挺 ...

  2. 编辑python用什么输入法_用Python从0开始实现一个中文拼音输入法!

    众所周知,中文输入法是一个历史悠久的问题,但也实在是个繁琐的活,不知道这是不是网上很少有人分享中文拼音输入法的原因,接着这次NLP Project的机会,我觉得实现一发中文拼音输入法,看看水有多深,结 ...

  3. python自定义拼音输入法_用Python从0开始实现一个中文拼音输入法

    众所周知,中文输入法是一个历史悠久的问题,但也实在是个繁琐的活,不知道这是不是网上很少有人分享中文拼音输入法的原因,接着这次NLP Project的机会,我觉得实现一发中文拼音输入法,看看水有多深,结 ...

  4. 一个简单木马分析及接管利用

    最近一段时间,感觉工作很是杂乱无章,博客也基本没时间来写,基本每月一篇,其实每写一篇也代表目前我自己的工作状态及内容.最近搞逆向这一块,找了些样本分析例子,自己也研究了一下,感觉有不少好东西,当然这些 ...

  5. 一个淘宝客劫持木马的分析

    一个淘宝客劫持木马的分析 近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的.360病毒响应中心的工程师收 到投诉后,经过一系列的分析和 ...

  6. 绿色并不代表安全,一个隐藏在绿色软件中的木马分析

    腾讯电脑管家 · 2016/02/03 18:49 0x00 背景 "绿色软件"通常指的是那些无需安装即可使用的小软件,这些小软件运行后通常可以直接使用,且使用后不会在注册表.系统 ...

  7. 对一个windows2000注册表项的粗略分析(转)

    对一个windows2000注册表项的粗略分析(转)[@more@] [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Executio ...

  8. 【木马分析】远控盗号木马伪装成850Game作恶

    很喜欢配图 前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下 ...

  9. 移花接木大法:新型“白利用”华晨远控木马分析

    360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...

最新文章

  1. 初识Mysql(part15)--我需要知道的4条Mysql语句之操作表
  2. idea中Gitlab项目导入导出
  3. HDR和SDR的区别
  4. 下面选项中不是开发java程序的步骤是_Java基础试题及其答案2
  5. 【Elasticsearch】Elasticsearch 7.6 IDEA 源码环境搭建
  6. 春运期间长江海事局开辟四类运输“绿色通道”
  7. PDE13 Wave equation: separation of variables
  8. IOS中延时执行的几种方式的比较和汇总
  9. UTF-8 encode decode 集合
  10. 网络编程-在线英英词典项目
  11. CAD/CASS断面插件合集断面工具箱批量提取断面数据绘制断面图(断面必备)
  12. 七天学完Vue之第一天学习笔记(Vue的介绍,时间修饰符以及常用指令)
  13. python处理xps文件_自学WPF--第二十四课XPS文件处理
  14. 若依设置匿名访问路径
  15. 你可能不知道,你登曾是个气喘小胖子,靠努力逆袭完成梦想
  16. oracle gbk ebcdic,文件编码 ANSI、GBK、GB2312、MS936、MS932、SJIS、Windows-31 、EUC-JP 、EBCDIC 等等之间的区别与联系...
  17. Python知道cos值求角度_机械臂正运动学-DH参数-Python快速实现
  18. 付费获取密码平台原理
  19. c语言5个人分鱼程序题,C语言递归解决5人分鱼问题
  20. Altova xmlSpy测试webService的使用

热门文章

  1. python bar图_python使用matplotlib绘图 — barChart | 学步园
  2. python程序分析,用Python编写分析Python程序性能的工具的教程
  3. 辽源天气预报软件测试,辽源天气预报15天
  4. php wmi,window_Win7系统中的wmi控件是什么?有什么用?,  wmi控件是什么Windows - phpStudy...
  5. reset java_Java PushbackReader reset()用法及代码示例
  6. centos svn服务器端口配置文件,centos下配置svn服务器
  7. linux vfs 根节点名称,Linux:文件,目录项,索引节点,超级块,VFS,具体文件系统...
  8. java - 判断任意一天是这年的第几天
  9. xampp命令行连接MySql数据库
  10. linux客户端 存活检测,Linux下客户端检测服务器的 heartbeat