搜索一些国外软件时,当时杀毒软件就发出警告,提示有网页病毒. 只是似乎杀毒软件并未来得及处理就已经大面积感染了..(后来一扫描时发现的结果)
系统自动安装SPYWARE软件,和一些不良信息网内容!
现象:
电脑中的显示属性被修改! 注册表被禁! 背景面被修改成SPYWARE的广告页! 注册表被监视!...
清除一些杀毒软件能识别的病毒倒是没有问题. 问题在于注册表被监视,修复的值随即被更改.而该病毒采用远程线程注入到多个系统进程中,如svchost.exe \ lsass.exe \ explorer.exe等多个进程中,可疑的DLL为: %system32%\flsmngr.dll)
检测并修复:
由于当时并不清楚是那个进程向注册表循环监视并写入键值,所以,这里采用 RegMon v4.32 监视注册表操作情况,以特征NoDispBackgroundPage(等于1时表示背景属性页被禁止,防止用户修改背景页面)(注:这里直接修改是没有效果的.随即亦会被撰改成原样!这里不再做无功之作,发现源,清除源才是根本!)
我们来看看 RegMon v4.32 监视注册表操作的一特征:
序号 时间 进程:ID 操作类型(设置值)
11307 42.76107913 svchost.exe:656 SetValue
具体注册表位置 键值 结果 写入值
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage SUCCESS 0x1
重点在于进程及其ID,OK, 我们知道是那个进程写入了. svchost.exe 进程属于服务级进程,其权限为SYSTEM,!
接下来,我们拿出 IceSword v1.12
在 IceSword 主界面中选择"进程"查看系统中的运行进程, 我们可以看到"可疑"进程的详细信息:
进程映像名称 进程ID 程序名称
svchost.exe 656 C:\WINDOWS\system32\svchost.exe (其他的信息略过....)
再来看看这个属于那个服务... 点击左边工具栏"服务",打开服务列表...
我们可以看到这是个多个服务共享单个进程的服务程序.(相关SVCHOST.EXE进程的相关信息,可以通过搜索网络找到更详细的说明)
这些都是系统所需要的服务,我们不能通过停止服务来终止病毒对注册表的监视,只能通过其他的方式解除...
PS: 其实 IceSword 作者早就为广大的反病毒及系统安全爱好者考虑周到了. 开发了 IsHelp.exe 辅助工具!
在"进程模块"框中,亦有详细的进程列表信息,更为详细的是其中包含了每个进程的模块信息.这对于监测采用"远程线程注入DLL"是很有帮助的!
不过. 初学者也许会问,这么多的DLL,如何判断那个是病毒DLL呢? 这确实也是,不过,对于系统的安全检测,相关的一些进程模块就需要有个大概的了解.排除可靠的DLL(可靠的路径),剩余的就需要着重分析了...
有了 IsHelp.exe ,检测的工作就简单多了..因为,都有作者为您考虑好了...
选中进程列表中"进程ID"为:656 的进程,右键弹出功能菜单,选择"线程分析",嗯... 结果出来啦...
线程ID 线程状态 入口 分析
716 StateWait 0x1000A450 C:\WINDOWS\system32\flsmngr.dll --可疑***
点击关闭后,返回主界面中.其入口基址为0x1000A450,简单的从此点判断,可以认为该DLL是可疑(作者的判断因素也许会考虑到更多,更详细..这点我就不清楚了.)
那我们再次来判断该DLL是否为可疑!
点击主界面的"查找模块",输入 flsmngr.dll 然后搜索...
模块路径名 所在进程 (再通过核对当时的进程列表,我们可知以下的进程ID所对应的进程名称)
C:\WINDOWS\system32\flsmngr.dll 448 lsass.exe
C:\WINDOWS\system32\flsmngr.dll 612 svchost.exe
C:\WINDOWS\system32\flsmngr.dll 656 svchost.exe
C:\WINDOWS\system32\flsmngr.dll 724 svchost.exe
C:\WINDOWS\system32\flsmngr.dll 1132 explorer.exe
这里也只是确实了其他进程中亦含有此DLL,但现在还不能完全确认这就是病毒DLL...
这时,我们运行"PEiD v0.93"查询壳类型,搜索C:\WINDOWS\system32\flsmngr.dll的壳特征: UPX 0.80 - 1.24 DLL
(注: 大部分正常的应用程序都不会采用加壳处理.)
在 IceSword 主界面中找到相应的进程ID, 如 448 ,点击右键选择菜单功能"模块信息",然后找到flsmngr.dll,按"卸除" (结果出错.系统被关机了...)
最后, 通过系统的"故障恢复控制台"将该可疑DLL删除!
重新进入,却发现注册表仍然被监视. 而现在还不能上网了...
(经电信部门核实,网络状态正常,在恢复系统后也证明了确实非网络问题而无法上网)
那么. 这是不是表示WOCKS被HOOK了呢???
在网上找不到相关的解决方法...
[课程]Linux pwn 探索篇!