lssas.exe 조사 및 그림 분석

lssas.exe 는 목마(뒷문)류 의 동쪽 일 수 있 습 니 다.서성 19.39.30 바이러스 창고 에 서 는 이 독 을 찾 을 수 없다.이 목 마 는 비교적 교활 하 다.처리 할 때 는 반드시 진 위 를 자세하게 가 려 야 한다.그렇지 않 으 면 속기 쉽다!목마 가 실 행 된 후 실제 시스템 프로그램 services.exe 를 가짜 SERVICES.EXE 로 교체 합 니 다.(C:\WINDOWS\\system 32\디 렉 터 리 에 있 는 시스템 프로그램 services.exe 를 hbaxcsnp.dll 로 이름 을 바 꾸 고 C:\WINDOWS\\system 32\wins\디 렉 터 리 로 이동 합 니 다.)C:\WINDOWS\system 32\디 렉 터 리 에 있 는 SERVICES.EXE 가 목마 프로그램 으로 변 경 됩 니 다.이 가짜 SERVICES.EXE 파일 크기 는 실제 시스템 프로그램 과 같 지만 MD5 값 만 다 릅 니 다.이 밖 에 qrafgsy.dll 을 C:\WINDOWS\\system 32\디 렉 터 리 에 놓 고 이 dll 을 가짜 SERVICES.EXE 프로 세 스에 삽입 하여 실행 합 니 다.당 첨 후의 전형 적 인 증상:IceSword 로 프로 세 스 목록 을 볼 때 두 개의 services.exe 프로 세 스 를 발견 할 수 있 습 니 다.하 나 는 dll 아이콘(진정한 시스템 프로 세 스;그림 1),다른 하 나 는.exe 아이콘(목마 프로 세 스;그림 2).SRENG 로 로 그 를 쓸 때 유일 하 게 보 이 는 이상 은:입 니 다. [PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58] [C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58] [PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58] [C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58] [C:\windows\system32\qrafgsy.dll] [N/A, ]  메모:프로 세 스 번호 가 PID:1716 인 services.exe 프로 세 스 에 이상 모듈 qrafgsy.dll 이 있 습 니 다.이 쯤 되면 진정한 시스템 프로 세 스 services.exe 로 딩 이 빠 르 고 PID 번호 가 크 지 않다 는 기본 상식 을 강조 할 필요 가 있다.프로 세 스 번호 로 만 판단 하면 PID 를 알 수 있 습 니 다. 1716 의 그 SERVICES.EXE 는 가짜다.IceSword 의 수 동 백신 프로 세 스:1.가짜 SERVICES.EXE 프로 세 스 를 끝 냅 니 다.메모:DLL 아이콘 의 services.exe 프로 세 스(C:\WINDOWS\\system 32\wins\hbaxcsnp.dll)를 끝내 지 마 십시오.그렇지 않 으 면 시스템 이 즉시 무 너 지고 다시 시작 합 니 다.2.C:\WINDOWS\system 32\디 렉 터 리 에 있 는 SERVICES.EXE 와 qrafgsy.dll(그림 3)을 삭제 합 니 다.3.C:\\WINDOWS\system 32\wins\hbaxcsnp.dll 을 services.exe 로 바 꾸 고 C:\WINDOWS\system 32\디 렉 터 리 를 복사 합 니 다.4.재 부팅.