微点交流论坛 - 微点主动防御软件 - 发现一个av468.dll木马病毒

longcable
新手上路

积分 34
发帖 34
注册 2007-12-21

#1 发现一个av468.dll木马病毒

今天发现一个av468.dll木马病毒，用windows清理助手清除的。
C:\WINDOWS\SYSTEM32\DRIVERS\TAP0801.SYS
HKEY_LOCAL_MACHINE,SYSTEM\CONTROLSET001\SERVICES\TAP0801
HKEY_LOCAL_MACHINE,SYSTEM\CONTROLSET003\SERVICES\TAP0801
HKEY_LOCAL_MACHINE,SYSTEM\CURRENTCONTROLSET\SERVICES\TAP0801

微点能报警，并拦截，就是杀不死。

MPExInfo.zip如何上传。

※ ※ ※ 本文纯属【longcable】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-12 16:37

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#2

可能是尸体吧，微点对衍生物拦截不完全的说（虽然已无-破坏性了，但是一堆垃圾总是碍眼，而且容易误会）

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-12 16:48

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#3

装了VPN的？

楼主可以把这些信息和微点的技术支持信息发给微点的技术支持信箱：support@micropoint.com.cn 微点的工程师会帮你分析这些问题

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2009-3-12 16:51

longcable
新手上路

积分 34
发帖 34
注册 2007-12-21

#4 经查为“新型流氓letvSafe.exe”

2009-02-04 12:30新型流氓letvSafe.exe的查杀

最近，有很多人举报letvSafe.exe这个流氓软件，说明明看到在“启动”文件夹中，就是删除不了。
包括使用粉碎机啊，占坑粉碎删除等方法都不行。
今天在收到样本后，仔细分析了一下。

原创：http://hi.baidu.com/黑土工作室/blog 转载请附上此信息

原来，letvsafe.exe只不过是一个更新的程序，会自动下载TXQPlatform.exe并在右下角弹类qq消息的广告窗口，算是QQ钓鱼的木马吧。其中，TXQPlatform.exe好清理，删除后就看不见了。但是，letvsafe.exe就不同了，即使你将它从“启动”文件夹中删除了，重启后还是会出现的。而且，使用各种工具查看启动项的时候都找不到与之相关的启动项。
经过仔细查看分析，有一个驱动显得很可疑。就是处在C:\WINDOWS\system32\drivers目录下的tap0801.sys。经过分析，就是这个驱动每次被加载向“启动”文件夹中释放了letvsafe.exe。所以，我们只需要将这个tap0801.sys删除就可以了。

删除文件：
C:\WINDOWS\system32\drivers\tap0801.sys
c:\windows\letvsafe.exe
c:\windows\system32\TXQPlatform.exe
"启动"文件夹中的 letvsafe.exe (通常是C:\Documents and Settings\All Users\「开始」菜单\程序\启动)

删除注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tap0801 将这整个分支都删除了

经过这样处理后，这个流氓就轻松赶出系统了。

PS:中招的人还不少，5分钟内活跃IP总数达5万，而且还有上升的迹像。

※ ※ ※ 本文纯属【longcable】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-12 17:12

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号