请输入您要查询的百科知识:

 

词条 wddoor0.dll
释义

基本信息

进程文件:wddoor0.dll

文件版本:未知N/A

文件大小:8832 字节

所在系统:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003

所在位置:C:\\WINDOWS\\system32

MD5校验码:80C4562E8F7415225CE8433595C9BD89

进程名称:Trojan-Downloader.Win32.Agent.ccc; Trojan.PSW.OnlineGames.bhv; Win32.Troj.OnlineGames.c.61328

描 述:wddoor0.dll是Trojan-Downloader.Win32.Agent.ccc木马相关程序。

出 品 者:未知N/A

属 于:未知N/A

系统进程:否 

后台程序:是

使用网络:是

硬件相关:否

常见错误:未知N/A

内存使用:未知N/A

风险等级(0-5):4

间谍软件:否

广告软件:否

病毒文件:否

木马文件:是

技术分析

变种:

【CISRT2007134】木马 mhdoor0.dll 解决方案

【CISRT2007136】木马 wodoor0.dll 解决方案

【CISRT2007137】木马 ztdoor0.dll 解决方案

【CISRT2007138】木马 jtdoor0.dll 解决方案

【CISRT2007143】木马 wldoor0.dll wgdoor0.dll wmdoor0.dll fydoor0.dll 解决方案

网游木马,运行后释放dll到系统目录并注入进程:

%System%\\wddoor0.dll

创建ShellExecuteHooks启动项:

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]

"{68F7767A-090C-4BBF-A015-720ACC6706E2}"="hook wd"

[HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-090C-4BBF-A015-720ACC6706E2}\\InprocServer32]

@="%System%\\wddoor0.dll"

木马不断重写释放出的dll文件和启动项。

设置注册表信息:

复制内容到剪贴板

代码:

[HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-4BBF-A015-090C-720ACC6706E2}]

"daExeModuleName"="{原文件}"

"daDllModuleName"="%System%\\wddoor0.dll"

"daSobjEventName"="YUTDFGHKHCOOLWD_0"

清除步骤

1. 退出已打开的应用程序,关闭打开的窗口,结束Explorer.exe进程2. 删除(或重命名/移动)木马文件:%System%\\wddoor0.dll3. 运行Explorer.exe进程4. 删除木马创建的ShellExecuteHooks启动项和相关信息:复制内容到剪贴板代码:[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]"{68F7767A-090C-4BBF-A015-720ACC6706E2}"[HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-090C-4BBF-A015-720ACC6706E2}][HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-4BBF-A015-090C-720ACC6706E2}]5. 如果第2步中没有删除木马文件,重启计算机后再删除重命名或移动过的木马文件:%System%\\wddoor0.dll

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 14:02:07