首页
社区
课程
招聘
[原创]手工杀毒技术---2006情人节宰鸽子手记
发表于: 2006-2-23 01:45 5302

[原创]手工杀毒技术---2006情人节宰鸽子手记

2006-2-23 01:45
5302
虽然今天是情人节,不过对于我来说也不过是一个普通的日子罢了。

下午,无聊中,打开VMware准备学习,用了一下感觉今天特别卡,还是关

掉杀毒软件吧。

打开IceSword,(BT的F-Secure Anti-Virus进程N多,还不能直接关闭,

要杀掉进程才行) 查看进程,一眼就发现了红色的IEXPLORE进程。楞了

下才反应过来,中标的感觉真好,呵呵。查看进程模块信息发现在
D:\Documents and Settings\Administrator\Local Settings\Temp\下的

xpnq28t.dll 非常可疑,

强行解除IEXPLORE.EXE加载的这个dll,准备手动删除文件。

FT,删除不掉,搜索注册表不见踪迹,不知道还有什么进程在使用它们。

懒得手工找了,装载杀毒软件查查看吧...

Shit!它一定是HOOK了CreateProcess API,这下好玩咯,满版的红色进

程。

X的,这么多,我找我找我找找找,找不同进程包含的相同模块去。

突然发现LoveXR.lmz模块信息,位置在D:\Program Files\Common

Files\Microsoft Shared\MSInfo\下,LOVE?难道是情人节特产?

嘿嘿,有点意思了。马上打开文件夹选项,勾选查看隐藏系统文件以

及查看所有隐藏文件
,看看LoveXR.lmz文件的创建时间为2005-10-28

3:56,小样的,看来还修改了时间啊。

不过D:\WINNT\下怎么多了个MUI目录呢?原来也注意到了,不过看看创建

时间是2005年的就没去留意它了,所有被ICESWORD标记红色的进程都包含

有这个目录里面的mstcf.dll.mui模块,看来也不是什么好货色,

都要删。

再看看D:\WINNT\system32\下的IGPGNL.DAT,哼哼,看来这个是

正主了。创建时间为2006年2月14日, 12:47:19。

该找的也差不多找完了,下面我们就该开始动手清除了,看来这个病毒还

不是一般狡猾呢,想必删除它也不是一帆风顺的。按照标准的步骤来吧,

先把涉及到的进程都kill掉,然后搜索相关文件,然后删除。先从我可怜

的杀毒软件开始吧...

怎么杀不掉进程呢,不会吧。换系统自带的任务管理器杀进程树,嘿嘿果

然没有了。返回ICESWORD,怎么还是没有干掉该死的杀毒软件啊!!这时

不详的预感笼罩在头上...我慢慢的把鼠标移到taskmgr.exe进程上,右键

点击,左键选模块信息...

果不其然,熟悉的IGPGNL.DAT,xpnq28t.dll,LoveXR.lmz以及msctf.dll

.mui又出现在眼前。

继续查看其它没有显示红色的进程,模块信息都加载了这几个文件,我终

于反应过来了,原来IceSword也是受害者啊,哈哈。

不知道还有没有别的隐藏份子,搜索系统所在盘,查找创建时间为2006-2

-14

12:47的文件,在D:\WINNT\system32\下又出来两个:wsr.sys

taskman32.exe, 都删掉。

然后查看WINNT目录下的setupapi.log文件,在最后我们会发现下面的内

容:

Munged cmdline: "D:\WINNT\hh.exe" Q:\HAV\Star Tokyo Vol.4\Star

Tokyo Vol.4.chm
EXE 名称: D:\WINNT\hh.exe
正在将文件 D:\Documents and Settings\Administrator\Local

Settings\Temporary Internet

Files\Content.IE5\FGKRDTR3\IsUninst[1].exe 复制到

D:\WINNT\Downloaded Program Files\IsUninst#32.exe。
安装了一个没有签署的或签署得不正确的文件(D:\Documents and

Settings\Administrator.LYS\Local Settings\Temporary Internet

Files\Content.IE5\FGKRDTR3\IsUninst[1].exe)。错误 0x800b0100: 主

题中没有签名。


问题的原因找到了,看来并不是我们前先认为的情人节病毒而是CHM文件

木马。不过经过查找并没有发现这个程序,可能是执行后自删除了吧。

用上面的几个文件名称来搜索注册表,结果发现
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tasks
Imagepath = D:\WINNT\system32\taskman32.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zotyup
Imagepath = D:\WINNT\system32\wsr.sys   

在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services下也有这两项,
都删除掉吧。

经过网络搜索,初步判断这个木马是灰鸽子或者灰鸽子的变种。

解决方案:
建议发现中毒后要立刻断开网络连接,然后按照文章提及的相关文件名称

进行查杀,如果有双系统的朋友就方便一点,重启到另外一个系统删掉病

毒文件就是;不然只能找张启动盘到DOS下手工查杀了,磁盘格式是NTFS

的可以使用NTFS for DOS软件,不少启动盘里都带有。
这里我们不考虑重装系统这种操作,虽然它对于初学者来说的确很方便。

但是!如果你想提高自己的技术水平,那还是放弃这种“治本不治标”的

心态吧。

说明:我的系统盘是D盘,系统目录是WINNT,大家请参照自己的实际情况操作

。                                                               

         
                                                 16:27 2006-2-14

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看起来不像灰鸽子,倒像是PCSHARE,灰鸽子一般没有sys文件
2006-2-23 09:17
0
雪    币: 191
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
自身不够功力,莫怪病毒入侵
2006-2-23 15:30
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不是鸽子,PCSHARE
2006-2-23 15:36
0
雪    币: 213
活跃值: (96)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
这样文章没看懂,不知所云
病毒的代码分析了吗,木马隐藏破坏或者其他方面的具体技术细节的代码分析都没有,让其他人看怎么用工具?
这样的文章是电脑杂志的最爱了,这里发这个东西

郁闷了。。。。。。
2006-2-23 17:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
高手都要经历一系列成长阶段的,楼上的回复我同意,但不喜欢。
PS:搜了一下,发现回复的功力不错。
2006-2-23 17:31
0
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
原来楼主是由于"特别卡"才发现木马的,建议楼主还是装个好的防火墙,比杀毒软件有用得多.
然后只要总结所有可以自启动的注册表位置并时常检查就基本可以应付了.
2006-2-23 17:54
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
呵呵,机器烂,装了杀毒软件就带不起防火墙了。所以现在我连杀毒软件都卸载掉,破罐破摔嘛。
现在许多病毒木马都采用线程注入和钩挂内核的手段,查看注册表自启动这些方法作用不大了。
2006-2-23 18:24
0
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
最初由 落叶树 发布
现在许多病毒木马都采用线程注入和钩挂内核的手段,查看注册表自启动这些方法作用不大了。


说的对!这时IceSword的作用就体现出来了.
但木马隐藏技术也是与时俱进的,彻底的隐藏在技术上也是有可能的.
比较怀念以前的老硬盘,那个时代只要听见硬盘声音不正常就知道是否有文件在上传了.不会连硬盘声音都隐藏吧.
2006-2-23 20:44
0
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
最初由 云重 发布

这样的文章是电脑杂志的最爱了


同感!
2006-2-23 22:03
0
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
推荐, look'n'stop防火墙, 占用 1m
2006-2-23 23:27
0
雪    币: 10617
活跃值: (3539)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
我看冲其量只能算“系统挟持者”或“系统寄生虫”,找HijackThis吧,它很在行对付这种杂种!HijackThis是什么?一个软件!!!不用两分钟就可以搞定。
2006-2-24 10:10
0
游客
登录 | 注册 方可回帖
返回
//