此木马通过在组策略中设置windows登录脚本启动对,从开始-运行-gpedit.msc,打开组策略-用户配置-windows设置-脚本(登录/注销)-登录,在“登录”的窗口中可能看到以下几个文件:如notepa.bat、yici.bat、sys.bat等,通过这些bat批处理文件调用donw.vbs、shijian.vbs等脚本文件(wscript.exe)。这些文件存放在%SystemRoot%\GroupPolicy\User\logon\下(如c:\windows\system32\GroupPolicy\User\Scripts\Logon\)。
各木马文件作用:通过yici.bat检测是否ping得通google,能通则执行donw.vbs到指定网站下载的木马文件(假冒swf文件,下载后保存到%SystemRoot%\ehome\并改名为cacls.exe、cacls.vbs、cacls.bat、cacls1.exe、cacls1.vbs、cacls1.bat,有的可能文件名不是cacls,而是svchost.bat、svchost.exe、svchost.vbs)并运行;shijian.vbs在下载的间隔执行,等待1秒;notepa.bat 删除所有分区的gho(Ghost镜像文件) 。
清除方法(以下默认系统是装在c:\windows\,即%systemboot%=c:\windows):
1、断网,重启电脑。因为脚本中会自动删除一些木马文件,电脑启动后运行木马,确定联网后重建,如果不联网就不会重建。
2、桌面上如果有“网络杀手快速搜索”的图标,就直接删除。
3、进入c:\windows\ehome\,查看其中是否有上面说的exe、vbs和bat后缀的文件,如果有就删除,如果看到有其它的文件名,检查下它们的属性,特别是创建和修改日期、文件版本,如果是中木马这几天创建的,或文件版本中不属于windows和微软的文件,也一起删除(不放心的话,可以到网上搜索文件名看看,或者先备份再删除,日后有问题再恢复)。
4、进入c:\windows\web\,把其中的exe、vbs和bat文件全部删除,该文件夹中应该只有一些图片和网页文件。
5、进入c:\windows\system32\GroupPolicy\User\Scripts\Logon\,删除其中的文件,可以全删,一般不会有文件在这里。
6、建议全盘搜索下上两段中提到的文件名(vbs和bat的),以免有漏网。
7、进入组策略的windows设置,清除启动脚本设置。
这个木马可能通过捆绑下载软件入侵用户电脑,我试了下SREng的系统修复(带有清除所有策略项的功能),但是竟然没有清除掉组策略中的启动脚本设置(可能有权限限制?当然文件还是一定要手动删除的,原指望用SREng清除组策略中的注册表项,但没成功),所以在上述最后还要手动删除启动设置。以前有的病毒会在启动后删除自身,在关机时又加到启动项中以待下次启动时再次运行,可能也与组策略中的登录注销设置有关吧。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/822.html