RIDIAP~2.EXE,word.lnk修改系统时间为1987年病毒查杀

ridiap??????.exe （??????为6位年月日，和激活时的当前系统时间有关吧）

如 ridiap071205.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\word.lnk

一开始没发现这个。。。汗啊。。。结果连续扫描了3个日志才搞掂。。。

本来想查壳的，结果不小心双击了。没事，一个小马....发现啥也没开....

自己也扫描了下日志，日志节选 如下：

==================================
启动文件夹
[word]
<C:\Documents and Settings\All Users\「开始」

菜单\程序\启动\word.lnk --> C:\WINDOWS\system32\RIDIAP~2.EXE [N/A]><N>

==================================
正在运行的进程

[PID: 3324 / killer][C:\program files\internet explorer\iexplore.exe]

 [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\mcdsrv32_071205.dll] [N/A, ]

[PID: 2568 / killer][C:\windows\system32\rundll32.exe]

 [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\mcdsrv16_071209.dll] [N/A, ]

[PID: 3376 / killer][C:\program files\internet explorer\iexplore.exe]

[Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\mcdsrv32_071209.dll] [N/A, ]

用 wsyscheck 提取样本后大概分析下

行为分析

本地行为：
1.修改系统时间为 1987年,时间倒流，那时候我才3岁...

2.
木马的文件名好像和当前的系统时间有关...但是怎么有 1205...

调用rundll32.exe加载木马模块 c:\windows\system32\mcdsrv16_071209.dll
注入IE进程 c:\windows\system32\mcdsrv32_071209.dll

相关文件：
c:\windows\system32\mcdsrv16_071209.dll
c:\windows\system32\mcdsrv32_071209.dll
c:\windows\system32\mcdsrv32_071205.dll
C:\WINDOWS\system32\ridiap071209.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\word.lnk