偶和一个猛病毒不得不说的故事
转载要求: 除本站特殊申明之作品不得转载外,其余作品均可转载,转载作品请保留作者及来源信息。
中毒原因:
偶兄弟从国外拖来了一个比较新的dameware的溢出代码加工具,正巧nsfocus也发了公告,直接点了看结果。(有exp哦?假的假的,贪婪不是一种好美德)
解毒起因:
同事baby重装系统,提醒偶也该装一次了,种毒无数,也清过n次。自然的去看了看连接端口和有无陌生启动和进程,不小心发现icesword显示有几个被改动过的进程(一般被改动过为红色)
解毒过程:
最新瑞星扫描系统c:\windows目录(偶是xp),杀到一个比较郁闷的名字:
.c:\windows\system32\lasse.exe 如不仔细观察,还真发现不了它,因为系统进程中有一个叫lsass.exe的,清除。(也许有的朋友奇怪,都装了RAV了, 怎么还中毒?因为我把文件监视关闭了,机器了多少还留了一些特殊爱好的黑软,杀之不爽。这一点咔吧就做的比较好,可以自己设置特定目录不过问)
习惯性的看了看天网,在应用程序网络状态栏中发现,有iexplore每几秒自动访问北京电信的一个ip,显示为OICQ服务器8000端口,qq虽然不怎么用,但也是偶家的宝啊。丢了杂对得起联系多年的兄弟们~ …… 我查-------------à
应用工具:
IceSword
knlsc.exe 俺家幻影zzzevazzz大兄所做(广告时间,国内还是幻影新人最强啊
HomePage:http://www.ph4nt0m.org)
Windows优化大师自带工具之WinProcess
CopyLock 一个可以让你替换,关闭系统正在使用的文件
Pslist,pskill
相必这些工具大家都该很清楚其用法吧,什么,没听过?!你, 你,你不是新来的吧。。。。
……………………………………………………………………………………………………
先用knlsc.exe查一下是否存在隐藏服务(很多木马程序以服务的形式启动,这样可以开机就执行,比插入IE,MSN等病毒更有长期控制效果)
果然:
c:\knlsc.exe -f
>Yelfbaav 服务名叫Yelfbaav
Yelfbaav
[Driver] [Disabled][2005-09-04 03:27:23]
\??\C:\WINDOWS\system32\drivers\Yelfbaav.sys 以驱动形式加载,更有隐蔽性
knlsc是一个查找隐藏服务的小程序。可以显示被hxdef100和ntrootkit122等rootkit隐藏的服务。发现隐藏的服务后,可以使用本程序禁用它。(详细使用请参考说明)
c:\knlsc.exe -cd Yelfbaav 禁用此服务。 并del掉Yelfbaav.sys
重新启动,knlsc –f果然发现没有隐藏服务存在。 以为此病毒不过如此,就此over(一般小木马这样就可以cut掉的)。打开天网一看,傻了。怎么IE浏览器还在不停的外连,晕死晕死。而且直接用天网防火墙结束端口的时候就自动启动。
拿出我们的骨灰装备IceSword好好分析一下,
启动组是一定没有陌生进程的,此程序一定是注射到IE浏览器中,果然在IceSword的SSDT组发现了几个可疑之处。
几个C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.dl1(注射此处是d1和L)和一个312bus.sys.
找到其路径,删除了半天才发现dll是D1L,晕,满隐蔽的哦~!直接删除(temp目录下的东西一般是可直接删除的,但是和服务或者进程关联到一起的时候,禁止删除。后来一边急关IE,一边cmd下删除此d1l才把它干掉。)
可那个312bus.sys.又是什么呢,连具体路径都没有显示。没办法搜索一下c盘算了,果然在driver目录下找到它,DEL
这样该没问题了 吧…… 重新启动。。。。。。。
