遭遇木马Trojan-PWS.Win32.Agent.BU（续篇）

  一直以为那个木马Trojan-PWS.Win32.Agent.BU是同事的U盘上带过来的，直到后来在安装/卸载一个软件时无意中发现不是的（呵呵~真不好意思，错怪她了），事情还是从公司领导决定用禁U软件说起，通过第三方软件把在公司上下除了必要的几台电脑外一律禁用U盘，一方面是考虑到U盘是传播木马的最大根源，另一方面也防止信息从计算机USB端口泄漏出去，虽然只要设置一下BIOS，改改注册表就可以起到禁用U盘的作用，但你不能保证人家在你改成禁用后再改回来解禁，因此这些治标不治本的方法还是不能用的。经过网上的查找筛选，找到两款禁U软件：一款是核盾数据卫士3.0，破解版的，这款软件不错，功能比较齐全，就是有个问题装在部分电脑上就会显示“免费使用次数已用完，请注册”，另一款是鼎球PC_USB安全锁专家，是收费的，拿来先在自己电脑里试用了一下觉得这款也不错，它比核盾数据卫士3.0多了一个安全标识设置，就是说只要是标识过的U盘就能插入电脑里使用，而其他没标识的插入电脑是没反应。呵呵~现在说到正题上来了，问题就出在这款软件上，它不是象核盾数据卫士3.0一样是封装的，而是安装好以后在C:\WINDOWS\system32里生成5个应用程序扩展文件：

subsystem.dll

qtintf70.dll

MSPDOX2w.DLL

browseiu.dll

avmeter32.dll

同时在其子文件夹setup里生成两个数据库文件及一个运行程序文件：

protecter.dat (时间会更新)
system.dat
svchost.exe

现在可以看到其中有个文件browseiu.dll正是被《Autorun病毒防御者》误认为是木马而进行查杀，在用360安全卫士木马云查杀时360也是把browseiu.dll作为可疑项进行上报。

     上个礼拜有同事反映电脑开机后不停地重启要重启好几回才能进登录界面，起先还只是以为userinit.exe被修改，过去察看了事件查看器。发现开机时有错误描述：

事件类型: 错误
事件来源: svchost.exe
事件种类: 无
事件 ID: 0
日期:  2009-9-16
事件:  14:44:40
用户:  N/A
计算机: xxxxxxxxxxx
描述:
事件 ID ( 0 )的描述(在资源( svchost.exe )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分: Access violation at address 004BAE6A in module 'svchost.exe'. Read of address 00000004.

     等用了《Autorun病毒防御者》以后发现查杀出来的内容跟《 遭遇木马Trojan-PWS.Win32.Agent.BU》这篇文章反映的一样，就完全确定是这个软件问题，可是考虑到还要用到这软件，不能对其进行查杀，所以我就直接进入DOCM配置,找到{1BE1F766-5536-11D1-B726-00C04FB926AF}，右点其属性选“安全”选项卡，在“启动与激活权限”栏目中点选“自定义”单选按钮。接着点击“编辑”按钮，在弹出的“启动权限”对话框中，把Everyone中勾上本地启动，再重启登录后循环重启就不存在了。

     这款禁U软件做得不够完善还表现在另一方面，就是不能完全卸载，由于它的后台是隐蔽运行，无启动界面，在系统右下角也不显示图标，在添加或删除程序里更找不到它的身影，而此系统是通过热键来调出，因此要卸载也只能通过进入到它的系统界面去卸载，可这只是不能用热键呼出而已，每次开机完全进入桌面时还是有程序在桌面上一闪，知道该程序还是在后台运行，逐打开系统文件夹进行察看果然发现还存在的两个文件：
protecter.dat
qtintf70.dll

呵呵~看来收费的不一定是好的，免费的也不一定是差的。

 

本文转自 彐火王木木 51CTO博客，原文链接:http://blog.51cto.com/linger/202748