间谍软件PSGuard
作者:冠群金辰技术支持
文章来源:

概述
摘要
PSGuard使用 rootkit 保护注册表: HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD 和子建值. 他找出Win32 API 和 Native API的不同. Rootkits的专家给出一个简单的样本和解释, 看http://www.sysinternals.com/information/tipsandtrivia.html. 阅读关于注册表的文章片段。这里有一些原文摘抄：
隐藏注册表?
在Win32 API和Native API之间存在一个微妙但是重大的不同（在Native API内部存在着很多没有证明的大量信息）是名字被描述的方式。Win32 API 串被认为NULL-terminated ANSI (8-bit)或宽字符串(16-bit)。 在Native API 命名时Unicode (16 位) 串是计算在内的。 但这通常不重要, 它形成一个有趣的情况: 有可能使用当地API 名字的组作参考, 但无法使用Win32 API描述 。
这怎么可能? 答案是Unicode 串的命名可以明确地包括NULL characters (0)作为名字一部分。 例如, "Key\0" 。 包括NULL 最终Unicode 串的长度被指定为4 。如果"Key\0"作为名字被通过后绝对没有方法指定名字使用Win32 API, 由API 确定,名字是" Key " (3 个字符长) 因为"\0" 表明名字的结尾。

类别
Trojan :  有隐藏意图的任何程序。 特洛伊木马程序是侵入计算机的主要方式之一。 如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏，则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan（特洛伊）可以用作动词：要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如，被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码，这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。 

发源
发源日期
2005年8月 

传播
PSGuard: < 0.00005%

感染程度
PSGuard: < 1 
 
要求的存储空间
PSGuard: 最少 7857KB
 
检测和删除
手工删除
按照以下步骤从您的机器删除 PSGuard。先备份您的注册表和系统，并设置一个还原点，防止发生错误。

停止运行进程:
利用任务管理器停止以下运行进程：
psguardinstall[1].exe
programfilesdir+\psguard\uninstall.exe
programfilesdir+\psguard\psguard.exe
psguardinstall.exe

撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册，然后重启：
programfilesdir+\psguard\core.dll
programfilesdir+\psguard\localization.dll
programfilesdir+\psguard\wndsystem.dll

清除注册表:
使用注册表编辑器清除以下注册项（如果存在）：
HKEY_CLASSES_ROOT\clsid\{15dc7116-e58e-4395-a45a-a1c99b17c030}
HKEY_CLASSES_ROOT\clsid\{17e02586-a91d-4a9d-a74e-187b05dffe6f}
HKEY_CLASSES_ROOT\clsid\{1bd98dfd-2da9-4c54-85d7-be03a0f9c487}
HKEY_CLASSES_ROOT\clsid\{1c94ea51-3800-4f08-b5dc-a5b67823ffea}
HKEY_CLASSES_ROOT\clsid\{20d1af34-6e19-42d8-af9f-bdfbe45c2454}
HKEY_CLASSES_ROOT\clsid\{21e132c9-1f98-4151-bdad-7d9b49c60a8e}
HKEY_CLASSES_ROOT\clsid\{23f7ad29-f51a-4ba1-be70-143b1cb25bd1}
HKEY_CLASSES_ROOT\clsid\{2c59d5ec-6b91-4896-bd6f-5f121d87a7f8}
HKEY_CLASSES_ROOT\clsid\{2f34e0e0-f0bb-477f-afb8-509262fa0ad1}
HKEY_CLASSES_ROOT\clsid\{2f34e0e0-f0bb-477f-afb8-509262fa0ad1}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{35ed274e-3f42-4a78-bbdc-3b7d73e85578}
HKEY_CLASSES_ROOT\clsid\{3d74d140-f780-4ae3-8d6d-f8dc39107213}
HKEY_CLASSES_ROOT\clsid\{49443d6e-ce4e-47a9-8deb-f5774ce14984}
HKEY_CLASSES_ROOT\clsid\{49443d6e-ce4e-47a9-8deb-f5774ce14984}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{52034ad2-914c-4634-b375-9299631e5525}
HKEY_CLASSES_ROOT\clsid\{52034ad2-914c-4634-b375-9299631e5525}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{7702c521-76ae-42c0-a181-3b5a96c2eef7}
HKEY_CLASSES_ROOT\clsid\{7adda344-1d36-4446-9f4b-b2351fb19efd}
HKEY_CLASSES_ROOT\clsid\{7adda344-1d36-4446-9f4b-b2351fb19efd}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{7d98221e-af8f-4d29-8bb1-1dfabc288173}
HKEY_CLASSES_ROOT\clsid\{7d98221e-af8f-4d29-8bb1-1dfabc288173}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{9746b450-6064-4ec8-9480-72a289aa2237}
HKEY_CLASSES_ROOT\clsid\{c5a40fce-0a0f-40ca-985e-661c28b5b431}
HKEY_CLASSES_ROOT\clsid\{c5a40fce-0a0f-40ca-985e-661c28b5b431}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{c7f22879-7151-4c71-8c50-9557afda66c6}
HKEY_CLASSES_ROOT\clsid\{ca5e7959-60b5-47b7-80ac-1606309733f3}
HKEY_CLASSES_ROOT\clsid\{ceabf027-6cdc-4d47-adf6-ac5d065826a6}
HKEY_CLASSES_ROOT\clsid\{ceabf027-6cdc-4d47-adf6-ac5d065826a6}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{e0aa0493-c410-4cbd-b1db-1723374fa8e0}
HKEY_CLASSES_ROOT\clsid\{e5d78bd8-3874-4aa0-9d45-cfb79382c484}
HKEY_CLASSES_ROOT\clsid\{e5d78bd8-3874-4aa0-9d45-cfb79382c484}\toolboxbitmap32
HKEY_CLASSES_ROOT\clsid\{f4b3e25a-33b4-4647-9a78-b627dde211a6}
HKEY_CLASSES_ROOT\interface\{08101c3e-6c90-439e-9734-6e4dd1b53b69}
HKEY_CLASSES_ROOT\interface\{09b90087-4ffa-4a44-be69-da117a710f07}
HKEY_CLASSES_ROOT\interface\{1449f89c-ad28-427a-97ff-1d5bd812ea43}
HKEY_CLASSES_ROOT\interface\{1c08d3d0-1e04-4dde-ab0a-75355ea2585e}
HKEY_CLASSES_ROOT\interface\{206538f7-f98c-4a46-a7d4-4a37fcdc932b}
HKEY_CLASSES_ROOT\interface\{20f8b70d-9f16-4dcb-8788-90a0498e46b9}
HKEY_CLASSES_ROOT\interface\{28fedb90-53c7-4928-994a-cee782606507}
HKEY_CLASSES_ROOT\interface\{2c462d06-3ba0-48bb-9282-bb6519fe86e9}
HKEY_CLASSES_ROOT\interface\{3a350193-c7f7-4e10-b347-02ff4c3cc4e9}
HKEY_CLASSES_ROOT\interface\{4723879b-8f52-4be7-9994-626afa539366}
HKEY_CLASSES_ROOT\interface\{7b6a3434-8625-4abf-b79d-09d98c2498c4}
HKEY_CLASSES_ROOT\interface\{8b6c0168-baac-4c7c-911e-0132590f5661}
HKEY_CLASSES_ROOT\interface\{8ec33b7d-9953-4edb-ace2-d4c105968601}
HKEY_CLASSES_ROOT\interface\{a00e2305-7001-4200-ba00-5779f9a3e7d3}
HKEY_CLASSES_ROOT\interface\{a20f5672-7486-4d27-bd2b-e555e4692c5f}
HKEY_CLASSES_ROOT\interface\{a917b2f3-a9bf-477c-a0e3-0382d0376159}
HKEY_CLASSES_ROOT\interface\{b26b5883-f15f-4283-b3d5-a1728077de47}
HKEY_CLASSES_ROOT\interface\{b803d266-a08d-4a4c-9604-6d35689abe09}
HKEY_CLASSES_ROOT\interface\{c6e2a22c-b3a8-43a4-b5ec-a5bb671ab3f7}
HKEY_CLASSES_ROOT\interface\{cb9385ab-8541-4b2f-a363-48f64c612993}
HKEY_CLASSES_ROOT\interface\{cf1674cc-ec9a-4aee-996e-65a8f7c0b0e4}
HKEY_CLASSES_ROOT\interface\{d5d6e9b5-30d5-4457-ac8b-399205f50411}
HKEY_CLASSES_ROOT\interface\{d6a7d177-0b2f-4283-b2e8-b6310a45e606}
HKEY_CLASSES_ROOT\interface\{e0d6c30a-b9a3-4181-8099-3b0d5a2b98af}
HKEY_CLASSES_ROOT\interface\{f100a342-3ac5-47ff-b5b3-fcdb6fc9f016}
HKEY_CLASSES_ROOT\interface\{f4364eec-31f5-4b8b-a7e0-3b6394c9d23f}
HKEY_CLASSES_ROOT\typelib\{982392f9-9c65-48b4-b667-3459c46630d1}
HKEY_CLASSES_ROOT\typelib\{f61d1ce1-5199-4b57-b59e-c6819ea92f3b}
HKEY_LOCAL_MACHINE\software\shudderltd\psguard alwaysblockchanges
HKEY_LOCAL_MACHINE\software\shudderltd\psguard alwaysblockwhennoav
HKEY_LOCAL_MACHINE\software\shudderltd\psguard databasefile
HKEY_LOCAL_MACHINE\software\shudderltd\psguard enablertmonitoring
HKEY_LOCAL_MACHINE\software\shudderltd\psguard installdir
HKEY_LOCAL_MACHINE\software\shudderltd\psguard mguid
HKEY_LOCAL_MACHINE\software\shudderltd\psguard minonstartup
HKEY_LOCAL_MACHINE\software\shudderltd\psguard performupdate
HKEY_LOCAL_MACHINE\software\shudderltd\psguard quarantinelocation
HKEY_LOCAL_MACHINE\software\shudderltd\psguard registrationurl
HKEY_LOCAL_MACHINE\software\shudderltd\psguard resourcedll
HKEY_LOCAL_MACHINE\software\shudderltd\psguard scan_depth
HKEY_LOCAL_MACHINE\software\shudderltd\psguard scan_priority
HKEY_LOCAL_MACHINE\software\shudderltd\psguard scanonstartup
HKEY_LOCAL_MACHINE\software\shudderltd\psguard startatwinstartup
HKEY_LOCAL_MACHINE\software\shudderltd\psguard updateinterval
HKEY_LOCAL_MACHINE\software\shudderltd\psguard versioninfo
HKEY_LOCAL_MACHINE\software\shudderltd\psguard\psguard installationid
 
删除文件:
使用资源管理器删除以下文件（如果存在）：
programfilesdir+\psguard\wndsystem.dll
programfilesdir+\psguard\uninstall.exe
psguardinstall.exe
programfilesdir+\psguard\core.dll
programfilesdir+\psguard\database.pkg
programfilesdir+\psguard\localization.dll
programfilesdir+\psguard\logfile.txt
programfilesdir+\psguard\psguard.exe
programfilesdir+\psguard\psguard.exe.local
core.dll
database.pkg
localization.dll
psguard spyware remover.lnk
psguard.exe
psguardinstall[1].exe
register psguard spyware remover.lnk
start psguard spyware remover.lnk
uninstall.exe
wndsystem.dll
commonprograms+\psguard spyware remover\register psguard spyware remover.lnk
commonprograms+\psguard spyware remover\start psguard spyware remover.lnk
commonprograms+\psguard spyware remover\uninstall.lnk
desktopdir+\psguard spyware remover.lnk

删除目录:
使用资源管理器删除以下目录（如果存在）：
commonprograms+\psguard spyware remover\register psguard spyware remover.lnk
commonprograms+\psguard spyware remover\start psguard spyware remover.lnk
commonprograms+\psguard spyware remover\uninstall.lnk
commonprograms+\start menu\programs\psguard spyware remover
desktopdir+\psguard spyware remover.lnk
profilepath+\application data\shudder global limited
profilepath+\application data\shudder global limited\psguard
profilepath+\application data\shudder global limited\psguard\autorun
profilepath+\application data\shudder global limited\psguard\autorun\hkcurun
profilepath+\application data\shudder global limited\psguard\autorun\hkcurun\runonce
profilepath+\application data\shudder global limited\psguard\autorun\hkcurun\runonceex
profilepath+\application data\shudder global limited\psguard\autorun\hklmrun
profilepath+\application data\shudder global limited\psguard\autorun\hklmrun\runonce
profilepath+\application data\shudder global limited\psguard\autorun\hklmrun\runonceex
profilepath+\application data\shudder global limited\psguard\autorun\startmenuallusers
profilepath+\application data\shudder global limited\psguard\autorun\startmenucurrentuser
profilepath+\application data\shudder global limited\psguard\browserobjects
programfilesdir+\psguard
programfilesdir+\psguard\database.pkg
programfilesdir+\psguard\localization.dll
programfilesdir+\psguard\logfile.txt
programfilesdir+\psguard\psguard.exe
programfilesdir+\psguard\psguard.exe.local

调查
文件分析
PSGuard

调查方式
间谍软件研究中心