木马 ctfnom.exe TIMPlatform.exe TIMPlatfrom.exe USBUE.sys 解决方案--木马,ctfnom.exe,TIMPlatform.exe,TIMPlatfrom.exe,USBUE.sys,解决方案

作者：佚名来源：网上收集发布时间：2007-3-14 0:22:24

档案编号：CISRT2007034
病毒名称：Trojan-Downloader.Win32.Small.czl（Kaspersky）
病毒别名：Trojan.Small.jeu（瑞星）
　　　　　 Win32.TrojDownloader.Small.34542（毒霸）
病毒大小：27,890 字节
加壳方式：NSPack FSG
样本MD5：c710a10fd1bfee40e6980afceebf5d13
样本SHA1：8a3cb8c5c6d0a43e8f6330363ebf0a0a64ef1ffb
发现时间：2007.2
更新时间：2007.2
关联病毒：
传播方式：恶意网页、其它病毒下载

技术分析
==========

木马运行后复制自身到系统目录下：
%System%\ctfnom.exe
注入进程……

释放文件：
%System%\drivers\usbue.sys

创建启动项：

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="%System%\ctfnom.exe"

使用病毒副本替换QQ目录下的TIMPlatform.exe文件，原TIMPlatform.exe被改名为TIMPlatfrom.exe。

清除步骤
==========

1. 删除QQ目录下被木马替换的TIMPlatform.exe：
%QQ%\TIMPlatform.exe

2. 重命名TIMPlatfrom.exe文件：
将%QQ%\TIMPlatfrom.exe重命名为TIMPlatform.exe

3. 删除木马启动项：

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="%System%\ctfnom.exe"

4. 重新启动计算机

5. 删除木马文件：
%System%\ctfnom.exe
%System%\drivers\usbue.sys