lssass.exe可能是個(gè)木馬（后門）一類的東東。瑞星19.39.30病毒庫(kù)查不到此毒。

　　這個(gè)木馬比較狡猾。處理時(shí)須仔細(xì)分辨真假。否則，容易上當(dāng)！

　　木馬運(yùn)行后，用假SERVICES.EXE替換真正的系統(tǒng)程序services.exe（將C:\WINDOWS\system32\目錄下的系統(tǒng)程序services.exe改名為hbaxcsnp.dll，移到C:\WINDOWS\system32\wins\目錄）；C:\WINDOWS\system32\目錄下的SERVICES.EXE變?yōu)槟抉R程序。這個(gè)假冒的SERVICES.EXE文件大小與真的系統(tǒng)程序相同，只是MD5值不同。此外，還釋放一個(gè)qrafgsy.dll到C:\WINDOWS\system32\目錄下，此dll插在那個(gè)假冒的SERVICES.EXE進(jìn)程中運(yùn)行。

　　中招后的典型癥狀：

　　用IceSword查看進(jìn)程列表時(shí)，可以發(fā)現(xiàn)兩個(gè)services.exe進(jìn)程。一個(gè)是dll圖標(biāo)（真正的系統(tǒng)進(jìn)程；圖1），另一個(gè)是.exe圖標(biāo)（木馬進(jìn)程；圖2）。用SRENG掃日志，唯一可見(jiàn)的異常是:






 [PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\qrafgsy.dll] [N/A, ] 


　　注意：進(jìn)程號(hào)為PID:1716的services.exe進(jìn)程中有一個(gè)異常模塊qrafgsy.dll。
說(shuō)到這兒，有必要強(qiáng)調(diào)一個(gè)基本常識(shí)：真正的系統(tǒng)進(jìn)程services.exe加載較早，其PID號(hào)不會(huì)太大。單憑進(jìn)程號(hào)判斷，也可知道PID: 1716的那個(gè)SERVICES.EXE是假的。

　　用IceSword的手工殺毒流程：

　　1、結(jié)束那個(gè)假冒的SERVICES.EXE進(jìn)程。注意：千萬(wàn)不要結(jié)束那個(gè)DLL圖標(biāo)的services.exe進(jìn)程（指向C:\WINDOWS\system32\wins\hbaxcsnp.dll），否則，系統(tǒng)立即崩潰、重啟。
　　2、刪除C:\WINDOWS\system32\目錄下的SERVICES.EXE和qrafgsy.dll（圖3）。
　　3、將C:\WINDOWS\system32\wins\hbaxcsnp.dll改名為services.exe，拷回C:\WINDOWS\system32\目錄。
　　4、重啟。

最新評(píng)論