【聚杰网安全工具】后门木马 wol.exe KB49400M.LOG 清除方法档案编号:CISRT2006045
病毒名称:Trojan-PSW.Win32.Lmir.awq(Kaspersky)
病毒别名:Win32.Troj.PSWLmir.aw.82737(毒霸)
Trojan/PSW.LMir.afj(江民)
病毒大小:82,737 字节
加壳方式:ASPack
样本MD5:5285a2465b096023a0bd837cde3df2a3
样本SHA1:348a6d2abedc00268934b5d29962d0814568678e
发现时间:2006.09
更新时间:2006.09
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
原文件名wol.exe,运行后释放文件到系统目录:
%Windows%KB49400M.LOG
修改“AppInit_DLLs”信息:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"="KB49400M.LOG"
"AppInit_DLLs"="KB49400M.LOG"
%Windows%KB49400M.LOG注入进程。
清除步骤
==========
1. 到注册表编辑器HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows位置,修改右边“AppInit_DLLs”信息,把数据中的“KB49400M.LOG”删除: 本文来自 dedecms.com
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"=""
"AppInit_DLLs"=""
“AppInit_DLLs”值数据默认为空
2. 重新启动计算机
3. 删除文件:
%Windows%KB49400M.LOG
4. 如果“AppInit_DLLs”值数据在清空后会自动恢复“KB49400M.LOG”信息,可以先将病毒文件%Windows%KB49400M.LOG改名,然后重新启动计算机,重启后再删除病毒文件、修改“AppInit_DLLs”值数据。
