wddoor0.dll

基本信息进程文件：wddoor0.dll

文件版本：未知N/A

文件大小：8832 字节

所在系统：Win9x, WinMe, WinNT, Win2000, WinXp, Win2003

所在位置：C:WINDOWSsystem32

MD5校验码：80C4562E8F7415225CE8433595C9BD89

进程名称：Trojan-Downloader.Win32.Agent.ccc; Trojan.PSW.OnlineGames.bhv; Win32.Troj.OnlineGames.c.61328

描述：wddoor0.dll是Trojan-Downloader.Win32.Agent.ccc木马相关程序。

出 品 者：未知N/A

属于：未知N/A

系统进程：否

后台程序：是

使用网络：是

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

风险等级(0-5)：4

间谍软件：否

广告软件：否

病毒文件：否

木马文件：是

技术分析变种：

【CISRT2007134】木马 mhdoor0.dll 解决方案

【CISRT2007136】木马 wodoor0.dll 解决方案

【CISRT2007137】木马 ztdoor0.dll 解决方案

【CISRT2007138】木马 jtdoor0.dll 解决方案

【CISRT2007143】木马 wldoor0.dll wgdoor0.dll wmdoor0.dll fydoor0.dll 解决方案

网游木马，运行后释放dll到系统目录并注入进程：

%System%wddoor0.dll

创建ShellExecuteHooks启动项：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

"{68F7767A-090C-4BBF-A015-720ACC6706E2}"="hook wd"

[HKEY_CLASSES_ROOTCLSID{68F7767A-090C-4BBF-A015-720ACC6706E2}InprocServer32]

@="%System%wddoor0.dll"

木马不断重写释放出的dll文件和启动项。

设置注册表信息：

复制内容到剪贴板

代码:

[HKEY_CLASSES_ROOTCLSID{68F7767A-4BBF-A015-090C-720ACC6706E2}]

"daExeModuleName"="{原文件}"

"daDllModuleName"="%System%wddoor0.dll"

"daSobjEventName"="YUTDFGHKHCOOLWD_0"

清除步骤1. 退出已打开的应用程序，关闭打开的窗口，结束Explorer.exe进程2. 删除（或重命名/移动）木马文件：%System%wddoor0.dll3. 运行Explorer.exe进程4. 删除木马创建的ShellExecuteHooks启动项和相关信息：复制内容到剪贴板代码:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]"{68F7767A-090C-4BBF-A015-720ACC6706E2}"[HKEY_CLASSES_ROOTCLSID{68F7767A-090C-4BBF-A015-720ACC6706E2}][HKEY_CLASSES_ROOTCLSID{68F7767A-4BBF-A015-090C-720ACC6706E2}]5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：%System%wddoor0.dll