木马下载器sna.exe下载的隐匿木马及其查杀（包括downloader.ex,l

发布时间：2012-04-15 01:13:19作者：知识屋

sna.exe是中了一个木马下载器（downloader.exe）后下载到系统目录system32中的。
sna.exe本身也是一个木马下载器。瑞星今天的病毒库还不报此downloader.exe和sna.exe，当然，也不报这个lsass.exe。

sna.exe运行后，通过80端口访问网络，下载木马。下载的木马主体程序为c:WINDOWSsystem32wbemlsass.exe。

特点：中了这个lsass.exe后，目前常用的日志扫描工具SREng、HijackThis v1.99.1、autoruns等均扫不到异常项目。
但SSM或IceSword的进程列表中可见lsass.exe进程（dll文件图标，路径为c:WINDOWSsystem32wbemlsass.exe；见图1）。

一、sna.exe下载的木马文件有：
c:WINDOWSsystem32wbemlsass.exe
c:WINDOWSsystem32wbemsholl32.dll
C:WINDOWSsystem32ntworkstan.dll
C:WINDOWSsystem32wnttech.dll
C:WINDOWSsystem32advwhes.dll
C:WINDOWSsystem32wmsnds32.dll

二、注册表改动：
（1）在HKEY_CLASSES_ROOTCLSID分支添加：
{C574040B-C11C-41EF-8401-E2AF6F5F6841}
（2）在HKEY_CLASSES_ROOTTypeLib分支添加：
{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
（3）在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支添加：
NTWorkStan
（4）在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支添加：
wnttech
（5）在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList分支添加：
"C:WINDOWSsystem32wbemlsass.exe"="C:WINDOWSsystem32wbemlsass.exe:*:Enabled:Generic Hosts for WinService"

三、杀毒流程：

1、、结束进程lsass.exe（路径c:WINDOWSsystem32wbemlsass.exe）
2、、清理注册表：

（1）展开：HKEY_CLASSES_ROOTCLSID
删除：{C574040B-C11C-41EF-8401-E2AF6F5F6841}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOTCLSID{C574040B-C11C-41EF-8401-E2AF6F5F6841}LocalServer32的默认值为：
@="c:WINDOWSsystem32wbemlsass.exe"

（2）展开：HKEY_CLASSES_ROOTTypeLib
删除：{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOTTypeLib{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}1.0win32的默认值为：
@="c:WINDOWSsystem32wbemlsass.exe"

（3）展开：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
删除：NTWorkStan
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTWorkStanParameters的默认值为：
"ServiceDll"="C:WINDOWSsystem32ntworkstan.dll"

（4）展开：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
删除：wnttech
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswnttechParameters的默认值为：
"ServiceDll"="C:WINDOWSsystem32wnttech.dll"

（5）展开：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList
删除："C:WINDOWSsystem32wbemlsass.exe"="C:WINDOWSsystem32wbemlsass.exe:*:Enabled:Generic Hosts for WinService"