病毒名称:N/A(Kaspersky)
病毒别名:Win32.Hack.NsAnti.13824(毒霸)
病毒大小:13,824字节
加壳方式:
样本MD5:79a9ff8336fe7a6fe015f2f9cf01b3cf
样本SHA1:9ef8211db4a65f88dcef6a2ecb0e9157f09581dd
发现时间:2007.5
更新时间:2007.5
关联病毒:
传播方式:恶意网页、其它病毒或木马下载
技术分析
==========
木马运行后复制自身到临时目录:
%temp%\tlso.exe
并释放dll注入进程:
%temp%\tlso0.dll
(或%temp%\tlso?.dll,如:%temp%\tlso1.dll、%temp%\tlso2.dll)
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tlsa"="%temp%\tlso.exe"
清除步骤
==========
1.删除木马启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tlsa"="%temp%\tlso.exe"
2.重新启动计算机
3.删除木马文件:
%temp%\tlso.exe
%temp%\tlso0.dll
%temp%\tlso?.dll