wddoor0.dll是Trojan-Downloader.Win32.Agent.ccc木馬相關程式。
基本介紹
- 外文名:wddoor0.dll
- 檔案版本:未知N/A
- 檔案大小:8832 位元組
- 所在位置:C:\WINDOWS\system32
基本信息,技術分析,清除步驟,
基本信息
進程檔案:wddoor0.dll |
檔案版本:未知N/A |
檔案大小:8832 位元組 |
所在系統:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 |
所在位置:C:\WINDOWS\system32 |
MD5校驗碼:80C4562E8F7415225CE8433595C9BD89 |
進程名稱:Trojan-Downloader.Win32.Agent.ccc; Trojan.PSW.OnlineGames.bhv; Win32.Troj.OnlineGames.c.61328 |
出 品 者:未知N/A |
屬 於:未知N/A |
系統進程:否 |
後台程式:是 |
使用網路:是 |
硬體相關:否 |
常見錯誤:未知N/A |
記憶體使用:未知N/A |
風險等級(0-5):4 |
間諜軟體:否 |
廣告軟體:否 |
病毒檔案:否 |
木馬檔案:是 |
技術分析
變種:
【CISRT2007134】木馬 mhdoor0.dll 解決方案
【CISRT2007136】木馬 wodoor0.dll 解決方案
【CISRT2007137】木馬 ztdoor0.dll 解決方案
【CISRT2007138】木馬 jtdoor0.dll 解決方案
【CISRT2007143】木馬 wldoor0.dll wgdoor0.dll wmdoor0.dll fydoor0.dll 解決方案
網遊木馬,運行後釋放dll到系統目錄並注入進程:
%System%\wddoor0.dll
創建ShellExecuteHooks啟動項:
複製內容到剪貼簿
代碼:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{68F7767A-090C-4BBF-A015-720ACC6706E2}"="hook wd"
[HKEY_CLASSES_ROOT\CLSID\{68F7767A-090C-4BBF-A015-720ACC6706E2}\InprocServer32]
@="%System%\wddoor0.dll"
木馬不斷重寫釋放出的dll檔案和啟動項。
設定註冊表信息:
複製內容到剪貼簿
代碼:
[HKEY_CLASSES_ROOT\CLSID\{68F7767A-4BBF-A015-090C-720ACC6706E2}]
"daExeModuleName"="{原檔案}"
"daDllModuleName"="%System%\wddoor0.dll"
"daSobjEventName"="YUTDFGHKHCOOLWD_0"
清除步驟
1. 退出已打開的應用程式,關閉打開的視窗,結束Explorer.exe進程2. 刪除(或重命名/移動)木馬檔案:%System%\wddoor0.dll3. 運行Explorer.exe進程4. 刪除木馬創建的ShellExecuteHooks啟動項和相關信息:複製內容到剪貼簿代碼:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]"{68F7767A-090C-4BBF-A015-720ACC6706E2}"[HKEY_CLASSES_ROOT\CLSID\{68F7767A-090C-4BBF-A015-720ACC6706E2}][HKEY_CLASSES_ROOT\CLSID\{68F7767A-4BBF-A015-090C-720ACC6706E2}]5. 如果第2步中沒有刪除木馬檔案,重啟計算機後再刪除重命名或移動過的木馬檔案:%System%\wddoor0.dll
