Keygen.exe——一个比较难对付的DLL木马

作者：baohe

样本来源：http://keygen.name/download/delta.force.xtreme_keygen.exe

特点：
1、Keygen.exe运行后，在system32文件夹中释放一个随机文件名的DLL（本次感染释放的是：rqrsppn.dll）。随后，将Keygen.exe自身删除。
2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————系统崩溃，重启。
3、此DLL木马有注册表守护功能。本次感染，木马添加的注册表项如下：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{35845E32-35D9-46BB-9240-258AB96391C5}"=""

HKEY_CLASSES_ROOT/CLSID/
{35845E32-35D9-46BB-9240-258AB96391C5}

4、删除上述注册表项后，木马立即原样写入。用SSM禁止写入注册表——无效。
5、用SSM禁止rqrsppn.dll运行————无效。
杀毒流程：

1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks分支，找到木马写入的内容（本例为：{35845E32-35D9-46BB-9240-258AB96391C5}）。
展开HKEY_CLASSES_ROOT/CLSID/，找到木马写入的CLSID（本例为{35845E32-35D9-46BB-9240-258AB96391C5}），并记下其指向的文件名及其路径。
2、用IceSword禁止进程创建。
3、删除木马添加的注册表项。
4、删除木马文件（本例为C:/windows/system32/rqrsppn.dll）。
5、断开计算机电源。搞掂。