·	完美空间提供500M免费AS	04-10	·	企业安全之YY内网准入以	04-09
·	企业安全之意识与策略	04-09	·	剑走偏锋:IIS漏洞利用	04-09
·	我来免费网提供100M免费	04-09	·	1122mb.com提供20G超大免	04-08
·	映像劫持与反劫持技术	04-07	·	让所有"暴力删除工具"无	04-07
·	入侵88red系统的详细过程	04-07	·	Sql Injection脚本注入终	04-07
·	vbs+delphi 反弹后门生成	04-07	·	飞讯网提供100MB免费PHP	04-07
·	突破SQL注入攻击时输入框	04-04	·	结合内核和病毒技术的最	04-04
·	Real Player rmoc3260.d	04-04	·	亿万网络今月最后为您提	04-04
·	php+mysql 5 sql inject	04-03	·	Real Player rmoc3260.d	04-03
·	oblog文件下载漏洞	04-03	·	免费啦提供1G-2G免费全能	04-03
·	完全解析网页后门和挂马	04-02	·	一句话开3389（只测试过	04-02
·	萧萧免费空间网提供100M	04-02	·	谷道免费空间网提供1G免	04-01
·	从本地入手解决双线路由	03-31	·	sablog 1.6 多个跨站漏洞	03-31
·	富文本编辑器的跨站脚本	03-31	·	Cookie注入是怎样产生的	03-31

[组图]邪恶的ghost.pif又出新变种（兼答**door0.dll木马群的查杀）

热荐 ★★★★★

邪恶的ghost.pif又出新变种（兼答**door0.dll木马群的查杀）

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-8-14 9:28:24

ghost.pif之前有分析过，现在又发现出现了新变种。具体分析如下:
File: Ghost.pif
Size: 22575 bytes
MD5: 550AD3A14D272B9D4BA7A019F714BFF5
SHA1: 69AC64704EA1FAF21F31B97473B3F57CCFCCA88F
CRC32: B61F22F8

运行后生成如下文件：
%ProgramFiles%\Common Files\goskdl.dll（随机6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.bak（随机6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.dll（随机6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.ebk（随机6位字母文件名）

注册表操作：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面添加
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><%ProgramFiles%\Internet Explorer\rksldk.dll> [Microsoft Corporation]
达到开机启动目的
HKLM\SOFTWARE\Classes\CLSID\下面添加
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} 指向%ProgramFiles%\Common Files\goskdl.dll通过IE浏览器钩子加载

查询以下注册表项目的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"MFC42.DLL"命名的文件夹
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

并在MFC42.DLL文件夹下生成歧义文件夹I1!O!0..\导致windows下无法删除该文件夹
检测新移动硬件插入如果插入了新硬件那么在其根目录下生成ghost.pif和autorun.inf
控制explorer连接网络下载木马
读取hxxp://www.xxxxx.org/Data/oK.txt的下载列表
下载hxxp://ora.xxxxx.com/Sex/1.exe
hxxp://ora.xxxxx.com/Sex/2.exe
hxxp://ora.xxxxx.com/Sex/3.exe
hxxp://ora.xxxxx.com/Sex/4.exe
hxxp://ora.xxxxx.com/Sex/5.exe
hxxp://orb.xxxxx.com/Sex/6.exe
hxxp://orb.xxxxx.com/Sex/7.exe
hxxp://orb.xxxxx.com/Sex/8.exe
hxxp://orb.xxxxx.com/Sex/9.exe
hxxp://orb.xxxxx.com/Sex/10.exe
hxxp://orb.xxxxx.com/Sex/11.exe
hxxp://orb.xxxxx.com/Sex/12.exe
hxxp://orb.xxxxx.com/Sex/13.exe
hxxp://orb.xxxxx.com/Sex/14.exe
hxxp://orb.xxxxx.com/Sex/15.exe
hxxp://orb.xxxxx.com/Sex/16.exe
hxxp://ora.xxxxx.com/Sex/M1.exe
hxxp://ora.xxxxx.com/Sex/oKoK.exe
到%Temp%文件夹
木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件
并且插入Explorer.exe和由explorer.exe启动的进程

sreng日志体现如下
注册表
启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:\WINDOWS\system32\wmdoor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []
<{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\WINDOWS\system32\jtdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []

浏览器加载项
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:\Program Files\Common Files\goskdl.dll, Microsoft Corporation>

正在运行的进程
[PID: 1748 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\wldoor0.dll] [N/A, ]
[C:\Program Files\Internet Explorer\rksldk.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\WINDOWS\system32\wmdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\qjdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dadoor0.dll] [N/A, ]
[C:\WINDOWS\system32\mydoor0.dll] [N/A, ]
[C:\WINDOWS\system32\qhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\zxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\tldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wddoor0.dll] [N/A, ]
[C:\WINDOWS\system32\rxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\fydoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wgdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\ztdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\jtdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wodoor0.dll] [N/A, ]
[C:\WINDOWS\system32\mhdoor0.dll] [N/A, ]
[C:\Program Files\Common Files\goskdl.dll] [Microsoft Corporation, 1. 0. 0. 1]

解决办法：
一、清除ghost.pif产生的病毒文件

重启计算机进入
安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击
“是” 然后确定
打开任务管理器－进程－结束explorer进程此时桌面消失

[1] [2] 下一页

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：最近流行的dhbpri.dll(***pri.dll)等木马群的查杀(8.9.更新)

下一篇文章：手动清除AV终结者

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

360卫士发布“装机必备软件”下载	02-13
认清本质计算机病毒防治常遇问题	01-24
彻底杜绝U盘病毒多重防护力保平	01-18
不再重装手动清除顽固病毒AutoR	01-06
主动出击让系统远离危害(图)	01-06
如何清除能突破主动防御的新型木	01-06
Win32.Loader.c(Win32.Downloade	11-10
Trojan.DL.Win32.Autorun类病毒的	11-10
Ghost XP系统含漏洞藏杀机伺机破	10-09
天空软件站被挂马	10-05
QQ尾巴+社会工程学+第三方Active	09-27
企业中进行病毒管理防范的技巧	09-27