档案编号:CISRT2007175
病毒名称:N/A(Kaspersky)
病毒别名:
病毒大小:114,772 字节
加壳方式:
样本MD5:b808fa52dd1f8d6ec9a7fee11d8d589b
样本SHA1:047b6a1fde70b4eb184a251a7147c0420d0d0a23
更新时间:2007.9
传播方式:通过DOC文档、电子邮件等途径传播
技术分析
木马运行后释放一个dll到系统目录:
%System%\certdef.dll
并注入svchost.exe进程。
释放一个exe到系统目录:
%System%\certsvc.exe
创建服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc]
显示名:Certlficate Services
描述:提供Windows网络认证服务。
可执行文件的路径:%System%\certsvc.exe
木马会尝试访问远程服务器。
清除步骤
1. 删除服务(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc]---Certlficate Services
2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%System%\certdef.dll
%System%\certsvc.exe
