征途木马 explore.exe myztr.dll 解决方案
档案编号:CISRT2006042
病毒名称:Trojan-PSW.Win32.WOW.iz(Kaspersky)
病毒别名:Win32.Troj.ZhengTu.sw.76800(毒霸)
Trojan/PSW.Agent.qm(江民)
病毒大小:37,411 字节
加壳方式:UPX
样本MD5:2b1d81bdb17e0160f36a632e70db1796
样本SHA1:ec08a881ae1cf6744655b873480e240e3f206654
发现时间:2006.09
更新时间:2006.09
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
征途木马,原文件名zt2.exe,运行后复制自身到系统目录:%System%explore.exe,释放文件:%System%myztr.dll注入其它进程,使用bat批处理删除原文件。
创建启动项:
($('code0'));">[Copy to clipboard]:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"rx"="%System%explore.exe"
清除步骤
==========
1. 结束%System%explore.exe进程
w w w.5 4 p e.c o m
2. 删除病毒文件:
%System%explore.exe
3. 删除启动项:
($('code1'));">[Copy to clipboard]:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"rx"="%System%explore.exe"
4. 重新启动计算机
5. 删除病毒文件:
%System%myztr.dll
