我已把此木馬樣本傳到以下鏈接：http://download.csdn.net/detail/cs08211317dn/4096819

一．大致描述：

1.??????樣本名稱：z.exe

2.??????家族名： PWS:Win32/Zuten.gen!D(MIcrosoft)

3.??????MD5：E298C3D646F3F25F2DE7DA8509A3D3B0

4.??????技術細節大致描述: 木馬釋放兩個.ocx文件，修改explorer.exe內存，使其以模塊的方式調用這兩個.ocx文件；并將其中一個.ocx文件注冊為輸入法以達到自啟動并注入其他進程的目的。

二、技術細節

1.??????進程 z.exe創建文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx，并修改explorer.exe的內存讓explorer.exe進程加載模塊C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。

2.??????進程z.exe創建文件c:\windows\system32\jahjah13.exe。

進程 c:\windows\system32\jahjah13.exe刪除文件z.exe并修改注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Ime File的值為MGT99008.OCX，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout Text的值為US，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout File的值為kbdus.dll。以達到將MGT99008.OCX注冊為輸入法，隨機自啟動，并注入所有以explorer.exe為父進程的進程（包括notepad.exe）。

注冊表截圖如下：

木馬文件注入情況截圖如下：

三、手殺方案

1.?????? 方案1

（1）??????刪除注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804，使得文件C:\WINDOWS\system32\mgt99008.ocx無法作為輸入法自啟動。

（2）??????重啟計算機后，刪除文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。

（3）??????刪除文件c:\windows\system32\jahjah13.exe。

2.?????? 方案2

（1）用powertool“強行卸載模塊并刪除模塊文件”處理成功。截圖如下：

如果用普通卸載模塊或者強行卸載模塊都會失敗。

（2）刪除文件c:\windows\system32\jahjah13.exe。

總結

以上是生活随笔為你收集整理的一个注册为输入法的木马分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。