【原创】警惕一个alexa_ad的后门程序(附上解决方案)

pentacle

这二天，总觉得系统有点异常。但是通过hijackthis查不出原因来。
后来通过若干手段，终于把这个后门给揪出来了。

中标后现象：
进程中会15分钟左右多出一个X:\program files\internet explorer\iexplore.exe -k http://www.xxxx.xxx/xxx.htm 的进程。XXX为后门连接的网址。
用任务栏管理器结束还会出现。

后门简单分析：
通过反汇编后门程序，发现后门是通过explorer加载的。可以看到在注册表中HKLM\software\microsoft\windows\currentversion\policies\explorer\run中有一个alexa的子键，键值为"X:/XXXX/XXXX/qproecss.exe"，XXX为系统盘符路径。还有一个ver的子键，键值为"2006.10.10"，应该是版本号了。

同时发现，还有一个dll保护进程，名称是ineptpui.dll。所以用常规方法不容易删除。

清除方法：
在清除后门前，请确保系统是查看所有文件及可视系统文件。另外，win98用户请勿使用此法。
1、首先。用任务栏管理器结束explorer。通过任务栏管理器的浏览功能，找到在system32文件夹下面的qproecss.exe，注意，有一个正常系统名为qprocess.exe。不要搞错了。清除了之后再找ineptpui.dll，当这二个都清除后，再找到explorer。打开explorer。
2、清注册表。打开注册表，找到HKLM\software\microsoft\windows\currentversion\policies\explorer\run
将下面的alexa子键和ver子键删除。。
3、重启电脑就可以收工了。。
[s:18]

最后。BS一样这样刷网站流量的人呀。。

有空常来飘云阁看看。。

也可以去www.av5.cn坐坐。。也话有好东东哦。。 [s:6]

mengyou0771

谢谢提醒啊....学习下了

sudami

你是怎么发现这个隐藏的后门的?
看起来他对系统的正常运行影响不是很大...
是通过任务管理器才发觉的吗?
那样的话你就太细心了,要是一般人恐怕不会那么仔细的观察15分钟来找出一个新的生成的进程的吧...


知道了木马的名称 和注册表的位置,还有起守护进程一般手工还是很容易解决的...

祝贺你..