作者：baohe    文章来源：卡卡论坛

据说是来自某网站的木马。拿到样本，看了一下。
其MD5值为33119870f5b8c7f823c8f6362555c756
瑞星18.41.22不报毒。升级到18.41.30——仍不报。

（一）感染系统后的表现：
g0ld.com运行后，在C:\Program Files\Common Files\Microsoft Shared\MSInfo目录下释放InfoMz.IME。
InfoMz.IME注入explorer.exe进程。

g0ld.com添加的注册表项：

1、在HKEY_CLASSES_ROOT\CLSID\分支添加：{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
在HKEY_CLASSES_ROOT\CLSID\{F084FD46-EB63-4CC0-B814-99C16EE76BD1}\
添加：InProcServer32
InProcServer32的默认值为：@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\InfoMz.Ime"
"ThreadingModel"="Apartment"
2、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加：
"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""

（二）查杀流程：
1、打开IceSword，找到进程explorer.exe，右击explorer.exe，点击“模块信息”，强制卸除插入explorer.exe进程的nfoMz.IME。
2、删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\InfoMz.IME。
3、清理注册表：
打开注册表编辑器。
展开：HKEY_CLASSES_ROOT\CLSID\
删除：{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除："{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""