恶心的server.exe（Trojan.Win32.Agent.atk）

文件名称：server.exe

 

文件大小：35519 bytes

 

AV命名：Trojan.Win32.Agent.atk （卡吧斯基）

 

加壳方式：未

 

编写语言：Microsoft Visual C++ 6.0

 

病毒类型：后门

 

文件MD5：47bfcace635b88a45ddaa7c022dc0de9

 

文件SHA1：341fce32564b8e940b89ee24a489892c0355d8ff

 

 

行为分析：

 

 

1、释放病毒文件：

 

%Systemroot%\system32\drivers\sysproxyed.sys

%Systemroot%\system32\sysproxyed.dll

 

2、sysproxyed.dll 注册为系统服务。

 

参数为：%Systemroot%\\system32\svchost.exe -k sysproxyed

开机则由svchost.exe加载注入。

 

3、记录键盘操作，保存为%Systemroot%\system32\sysproxyed.drv。

 

4、每隔一段时间连接222.95.53.1**（江苏省南京市 (玄武区)电信ADSL）。

 

并发送sysproxyed.drv。

 

5、通过系统服务修改SSDT，使Ntquerydirectoryfile指向sysproxyed.dll ，实现R0的Hook。

 

6、Ntquerydirectoryfile则在枚举硬盘文件时，始终漏过：

 

sysproxyed.dll、sysproxyed.drv、sysproxyed.sys信息。（返回失败）

 

系统表现为无法发现或不能对以上文件进行操作。居于R3的进程管理器更是如此。

 

解决方法一：

 

[url]http://free.ys168.com/?gudugengkekao[/url]下载：

 

冰刃.rar 2,110KB

 

1、关闭一切不需要的进程，断开网络。

 

2、打开冰刃，设置为禁止线程创建。

 

3、“文件”选项，删除：

 

%Systemroot%\system32\drivers\sysproxyed.sys

%Systemroot%\system32\sysproxyed.dll

%Systemroot%\system32\sysproxyed.drv

 

后转向冰刃“注册表”功能，删除：

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下的

 

sysproxyed整个键，不要看错啊

 

4、设置冰刃，重启并监视，确定。

 

5、重启后记住一定要修改QQ、邮箱、网游等帐号！

 

解决方法二：

 

下载SYSCHECK（我网盘没有，自己去找下吧）

 

1、打开SYSCHECK，打开SSDT，回存Ntquerydirectoryfile。

 

2、并使用SYSCHECK删除sysproxyed服务。

 

3、重启，重启后删除文件：

 

%Systemroot%\system32\drivers\sysproxyed.sys

%Systemroot%\system32\sysproxyed.dll

%Systemroot%\system32\sysproxyed.drv

 

解决方法三：

 

下载PAVARK（熊猫反RK工具），或者其他的反Rootkit工具。

 

用法很简单，扫描后全选，删除就可以了~~~

 

PS：今天硬是它耗了一早上，终于赢了，HOHO~~~

 

此类非法修改SSDT比较头疼，应即使升级杀软并开好杀软监控。

 

预防比事后处理来的好~~

 

另外有病毒带有Rookit名称的，病毒重启反复清除无效。

 

建议使用专业的反Rootkit工具或者使用杀软光盘进行DOS杀毒``=。=