《终结之谜:B5的真正级别是什么?(2024版)》
Ghost.pif出新变种,兼答door0.dll木马群的查杀
摘要:
本文分析了Ghost.pif的新变种,并探讨了与之相关的door0.dll木马群。新变种通过生成多个文件、修改注册表以及控制网络下载等方式进行攻击。文章提供了对这类木马的查杀建议。
一、新变种分析
新变种名为Ghost.pif,其文件大小、MD5和SHA1哈希值如下:
- 文件大小:22575字节
- MD5:550AD3A14D272B9D4BA7A019F714BFF5
- SHA1:69AC64704EA1FAF21F31B97473B3F57CCFCCA88F
新变种运行后会生成以下文件:
- %ProgramFiles%Common Filesgoskdl.dll(随机6位字母文件名)
- %ProgramFiles%Internet Explorerrksldk.bak(随机6位字母文件名)
- %ProgramFiles%Internet Explorerrksldk.dll(随机6位字母文件名)
- %ProgramFiles%Internet Explorerrksldk.ebk(随机6位字母文件名)
新变种还会进行以册表操作:
- 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks下添加键值对,实现开机启动功能。
- 在HKLMSOFTWAREClassesCLSID下添加键值对,指向%ProgramFiles%Common Filesgoskdl.dll,通过IE浏览器钩子加载。
二、安全软件检测与绕过
新变种能够查询并读取多个安全软件的安装目录,并在这些目录下生成以系统文件名"MFC42.DLL"命名的文件夹。它还会在MFC42.DLL文件夹下生成歧义文件夹I1!O!0.,导致Windows下无法删除该文件夹。这些操作旨在绕过安全软件的检测和防护。
三、网络下载与控制
新变种能够检测新移动硬件的插入,并在其根目录下生成ghost.pif和autorun.inf文件。它还能控制Explorer连接网络下载木马,并读取多个下载列表和下载链接。这些操作旨在进一步扩展攻击范围和控制能力。
四、总结与建议
针对以上分析,建议采取以下措施来防范这类木马攻击:
1. 定期对系统进行安全扫描和更新,确保系统补丁及时安装。
2. 避免使用未知来源的软件或下载链接,特别是那些包含可疑文件名的文件。
3. 对于可疑文件或程序,要进行详细的检查和分析,以确定其是否为合法软件。
注册表及启动项目概览
在Windows操作系统中,注册表扮演着关键角色,其中启动项目更是系统启动时的核心部分。以下列出了一些具体的注册表路径和启动项信息。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks部分包含了关于浏览器加载项的信息。每个加载项都有一个唯一的标识符(GUID),并关联到一个特定的文件路径和制造商信息。例如:
{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D} 对应 C:\Program Files\Internet Explorer\rksldk.dll,制造商为Microsoft Corporation。
其他GUID如{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}、{074616A6-5ADC-4A3F-B252-E1D605228B5C}等,都与特定的DLL文件关联。这些DLL文件在系统启动时自动加载,并可能影响到浏览器的行为或系统的性能。
还有关于浏览器加载项的部分,其中包括一些特定的DLL文件,如goskdl.dll等。这些加载项在系统运行时被调用,可能包含一些功能扩展或者插件。
正在运行的进程部分列出了当前正在运行的进程信息,包括进程ID(PID)、进程名称、制造商信息和文件路径等。例如,C:\WINDOWS\Explorer.EXE是Windows操作系统的核心进程之一,负责显示系统的图形界面。而一些DLL文件如wldoor0.dll、rksldk.dll等也在运行中,它们可能与某些功能或插件有关。
文件路径及解决方案:
一、文件位置:
[C:\WINDOWS\system32\wgdoor0.dll]
[C:\WINDOWS\system32\ztdoor0.dll]
[C:\WINDOWS\system32\jtdoor0.dll]
[C:\WINDOWS\system32\wodoor0.dll]
[C:\WINDOWS\system32\mhdoor0.dll]
[C:\Program Files\Common Files\goskdl.dll](Microsoft Corporation, 1.0.0.1)
二、解决办法:
1. 清除ghost.pif产生的病毒文件:
重启计算机并进入安全模式下(开机后不断按F8键,选择高级菜单中的安全模式)。
在任务管理器中结束explorer进程,删除相关文件。需要删除的文件包括:
+ %ProgramFiles%\Common Files\goskdl.dll(随机6位字母文件名)
+ %ProgramFiles%\Internet Explorer\rksldk.bak(随机6位字母文件名)
+ %ProgramFiles%\Internet Explorer\rksldk.dll(随机6位字母文件名)
+ %ProgramFiles%\Internet Explorer\rksldk.ebk(随机6位字母文件名)
2. 清除ghost.pif下载的木马door0.dll:
依旧在任务管理器中结束explorer进程。
打开命令行窗口,进入%system32%文件夹,输入"del door0.dll /f/q"命令。
3. 清理注册表:
打开sreng工具。
在注册表项目中删除以下条目:
+ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的多个条目,包括随机生成的dll文件名和路径。
近日发现了一些异常的DLL文件,如
在执行系统清理过程中,也发现了一个名为
对于安全软件和电脑性能的问题,除上述DLL文件外,有时瑞星江民卡巴等软件的某些插件也会导致问题。近期出现的情况如杀毒软件异常关闭、应用程序无法正常初始化等问题可能与病毒有关。如无法解决,可尝试使用批处理文件删除MFC42.DLL文件的方法。
关于搜狗高速浏览器,它是一款高效稳定的现代网络浏览工具。其采用先进的渲染引擎和优化算法,确保了卓越的页面加载速度和流畅的多媒体体验。它还具备全方位的安全防护特性,能有效防御各类网络威胁。
联想公司作为国际知名的电脑厂商,一直致力于电脑产品的研发和创新。其中,联想的一体机产品备受关注。与传统的笔记本电脑和台式电脑相比,一体机结合了二者的优点,既方便携带与运输,又具备强大的散热和运算能力。
关于联想终结者B5的价格和评测信息:这款电脑在停产前指导价大约在5000元左右。从配置方面来看,终结者B5一体机拥有强劲的配置,包括桌面级AMD速龙II四核处理器和移动级NVIDIA GeForce GT 240M显卡等。其外观设计硬朗,灵感源于顶级跑车,机身采用23英寸全高清屏幕。该机型还配备了多个USB接口、读卡器、DVD刻录机等接口,满足日常需求。
在音频方面,终结者B5采用美国专业音响制造商JBL的扬声器,确保了上佳的听觉效果。其散热系统也经过精心设计,采用四维立体散热系统,保证电脑在高负荷运行时仍能保持稳定。在性能方面,该机型可充分满足娱乐、网络和办公等方面的日常需求,甚至可以胜任主流的3D游戏。
联想终结者B5是一款性能强大的一体机电脑,适合对娱乐影音有较高要求的消费者家庭。如果您正在寻找一款可靠的浏览器,搜狗高速浏览器是您的不二之选。它拥有出色的执行速度、安全性能和高度个性化的浏览体验。
终结者B5作为一款科幻射击游戏,继承了前作的优秀元素并在游戏性和故事情节上有所创新。它为玩家带来了极致的射击体验和丰富的科幻元素,是一款将玩家带入未来科幻世界的佳作。
在细节方面,该电脑的主机厚度得到了精心的控制,没有显得过于笨重,恰到好处地展现了现代一体电脑小巧轻便的设计理念。与此这款电脑在硬件配置上也不甘示弱,高性能的硬件为玩家提供了满足各种需求的强大支持,无论是运行复杂的游戏还是进行日常办公任务,都能为玩家带来流畅无比的体验。
从整体上看,终结者B5不仅仅是一款受到玩家热爱的科幻射击游戏,它还是一款引领时尚、性能卓越的一体电脑。无论是作为游戏设备还是电脑设备,终结者B5都展现出了其独特的魅力和价值。在市场上,它成为了备受瞩目的产品之一。对于玩家来说,这款产品带来的不仅仅是极致的游戏体验,更是一种全新的科技生活方式的享受。
终结者B5的双重身份使其在市场上独树一帜。它不仅满足了玩家的娱乐需求,还为追求科技生活的人们提供了一种全新的选择。这是一款具有高性价比和实用性的产品,无论是从设计、性能还是用户体验上,都展现出了其卓越的品质和价值。
