这个木马比较狡猾。处理时须仔细分辨真假。否则,容易上当!
木马运行后,用假SERVICES.EXE替换真正的系统程序services.exe(将C:\WINDOWS\system32\目录下的系统程序services.exe改名为hbaxcsnp.dll,移到C:\WINDOWS\system32\wins\目录);C:\WINDOWS\system32\目录下的SERVICES.EXE变为木马程序。这个假冒的SERVICES.EXE文件大小与真的系统程序相同,只是MD5值不同。此外,还释放一个qrafgsy.dll到C:\WINDOWS\system32\目录下,此dll插在那个假冒的SERVICES.EXE进程中运行。
中招后的典型症状:
用IceSword查看进程列表时,可以发现两个services.exe进程。一个是dll图标(真正的系统进程;图1),另一个是.exe图标(木马进程;图2)。用SRENG扫日志,唯一可见的异常是:
[PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\qrafgsy.dll] [N/A, ]
注意:进程号为PID:1716的services.exe进程中有一个异常模块qrafgsy.dll。
说到这儿,有必要强调一个基本常识:真正的系统进程services.exe加载较早,其PID号不会太大。单凭进程号判断,也可知道PID: 1716的那个SERVICES.EXE是假的。
用IceSword的手工杀毒流程:
1、结束那个假冒的SERVICES.EXE进程。注意:千万不要结束那个DLL图标的services.exe进程(指向C:\WINDOWS\system32\wins\hbaxcsnp.dll),否则,系统立即崩溃、重启。
2、删除C:\WINDOWS\system32\目录下的SERVICES.EXE和qrafgsy.dll(图3)。
3、将C:\WINDOWS\system32\wins\hbaxcsnp.dll改名为services.exe,拷回C:\WINDOWS\system32\目录。
4、重启。