我已把此木马样本传到以下链接：http://download.csdn.net/detail/cs08211317dn/4096819

一．大致描述：

1.      样本名称：z.exe

2.      家族名： PWS:Win32/Zuten.gen!D(MIcrosoft)

3.      MD5：E298C3D646F3F25F2DE7DA8509A3D3B0

4.      技术细节大致描述: 木马释放两个.ocx文件，修改explorer.exe内存，使其以模块的方式调用这两个.ocx文件；并将其中一个.ocx文件注册为输入法以达到自启动并注入其他进程的目的。

二、技术细节

1.      进程 z.exe创建文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx，并修改explorer.exe的内存让explorer.exe进程加载模块C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。

2.      进程z.exe创建文件c:\windows\system32\jahjah13.exe。

进程 c:\windows\system32\jahjah13.exe删除文件z.exe并修改注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Ime File的值为MGT99008.OCX，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout Text的值为US，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804\Layout File的值为kbdus.dll。以达到将MGT99008.OCX注册为输入法，随机自启动，并注入所有以explorer.exe为父进程的进程（包括notepad.exe）。

注册表截图如下：

木马文件注入情况截图如下：

三、手杀方案

1.       方案1

（1）      删除注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts\E0220804，使得文件C:\WINDOWS\system32\mgt99008.ocx无法作为输入法自启动。

（2）      重启计算机后，删除文件C:\WINDOWS\system32\mgt13002.ocx和C:\WINDOWS\system32\mgt99008.ocx。

（3）      删除文件c:\windows\system32\jahjah13.exe。

2.       方案2

（1）用powertool“强行卸载模块并删除模块文件”处理成功。截图如下：

如果用普通卸载模块或者强行卸载模块都会失败。

（2）删除文件c:\windows\system32\jahjah13.exe。