前几天在朋友家用电脑,发现以前在浏览器中自动保存的宽带登录帐号密码怎么被清除了,问朋友也说不知道怎么搞的。潜意识感觉到可能中招了,然后就开始检查。
发现了这个gproecss.exe的隐藏文件比较可疑,然后进一步确认为恶意软件,只是侵入的途径一直没有找到,权当先挖个坑吧,它的价值是修正了我以前查木马的一个规则。
特征:
1.竟然有微软的版权签名,但是版本号为0.0.0.0,对应的微软文件有gprocess.exe;
这是另我诧异的地方,以前我甄别恶意软件的其中一个规则就是是否有版权签名,以后又多一条.
2.gproecss.exe的目的是为了在explorer.exe中植入ineptpui.dll;
3.注册表添加了:...\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
:Alexa - ...gproecss.exe ;途径不同于传统的自启动注册表项噢
:Ver - 2006.10.10 ;呵呵,还双十节
IceSword下载:
IceSword--华军软件园下载