转自http://www.cisrt.org/bbs，作者：海色の月

【CISRT2006071】木马下载器 WinInfo.rxk WinInfo.bak 解决方案

档案编号：CISRT2006071
病毒名称：N/A（Kaspersky）
病毒别名：
病毒大小：20,791 字节
加壳方式：UPX
样本MD5：ef13c880f2a5cfd628e352ebcf29527b
样本SHA1：bfe0314fe943c1d9eb589a79ec3a6e086619e6c9
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播、其它木马下载


技术分析
==========

运行后复制自身到：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak
在相同目录下释放WinInfo.rxk，注入Explorer.exe进程：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

创建启动信息，通过ShellExecuteHooks启动：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk"

尝试访问网络下载其它病毒、木马或其它恶意程序。


清除步骤
==========

1. 删除病毒创建的ShellExecuteHooks启动信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}]

2. 重新启动计算机

3. 删除文件：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak