| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 |

您现在的位置： 中国X黑客小组 >> 技术文章 >> 安全防御 >> 病毒分析 >> 文章正文 用户登录 新用户注册

偶和一个猛病毒不得不说的故事    热     ★★★ 【字体：小 大】
偶和一个猛病毒不得不说的故事
作者：慕容小雨    文章来源：CnXHacker.Net    点击数：    更新时间：2005-12-17
俗话说，常在网上泡，哪有不“中毒”，晕，好象有点乌鸦嘴的味道了。很久没写过东西了，手生的很，好容易碰到一次猛病毒，花了我4小时的时间来分析（俺不碰底层的），写出简单过程给大家分享一下。  中毒原因：    偶兄弟从国外拖来了一个比较新的dameware的溢出代码加工具，正巧nsfocus也发了公告，直接点了看结果。（有exp哦？假的假的，贪婪不是一种好美德）  解毒起因：     同事baby重装系统，提醒偶也该装一次了，种毒无数，也清过n次。自然的去看了看连接端口和有无陌生启动和进程，不小心发现icesword显示有几个被改动过的进程（一般被改动过为红色）  解毒过程：  最新瑞星扫描系统c:\windows目录（偶是xp），杀到一个比较郁闷的名字：  .c:\windows\system32\lasse.exe  如不仔细观察，还真发现不了它，因为系统进程中有一个叫lsass.exe的，清除。（也许有的朋友奇怪，都装了RAV了， 怎么还中毒？因为我把文件监视关闭了，机器了多少还留了一些特殊爱好的黑软，杀之不爽。这一点咔吧就做的比较好，可以自己设置特定目录不过问）  习惯性的看了看天网，在应用程序网络状态栏中发现，有iexplore每几秒自动访问北京电信的一个ip，显示为OICQ服务器8000端口，qq虽然不怎么用，但也是偶家的宝啊。丢了杂对得起联系多年的兄弟们~ …… 我查-------------à  应用工具：  IceSword      knlsc.exe     俺家幻影zzzevazzz大兄所做（广告时间，国内还是幻影新人最强啊  HomePage：http://www.ph4nt0m.org）  Windows优化大师自带工具之WinProcess  CopyLock    一个可以让你替换，关闭系统正在使用的文件  Pslist,pskill   相必这些工具大家都该很清楚其用法吧，什么，没听过？！你， 你，你不是新来的吧。。。。  ……………………………………………………………………………………………………  先用knlsc.exe查一下是否存在隐藏服务（很多木马程序以服务的形式启动，这样可以开机就执行，比插入IE，MSN等病毒更有长期控制效果）  果然：  c:\knlsc.exe  -f  >Yelfbaav     服务名叫Yelfbaav   Yelfbaav   [Driver] [Disabled][2005-09-04 03:27:23]   \??\C:\WINDOWS\system32\drivers\Yelfbaav.sys  以驱动形式加载，更有隐蔽性  knlsc是一个查找隐藏服务的小程序。可以显示被hxdef100和ntrootkit122等rootkit隐藏的服务。发现隐藏的服务后，可以使用本程序禁用它。（详细使用请参考说明）  c:\knlsc.exe  -cd  Yelfbaav   禁用此服务。  并del掉Yelfbaav.sys     重新启动，knlsc –f果然发现没有隐藏服务存在。 以为此病毒不过如此，就此over（一般小木马这样就可以cut掉的）。打开天网一看，傻了。怎么IE浏览器还在不停的外连，晕死晕死。而且直接用天网防火墙结束端口的时候就自动启动。   拿出我们的骨灰装备IceSword好好分析一下，  启动组是一定没有陌生进程的，此程序一定是注射到IE浏览器中，果然在IceSword的SSDT组发现了几个可疑之处。  几个C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.dl1(注射此处是d1和L)和一个312bus.sys.  找到其路径，删除了半天才发现dll是D1L，晕，满隐蔽的哦~！直接删除（temp目录下的东西一般是可直接删除的，但是和服务或者进程关联到一起的时候，禁止删除。后来一边急关IE，一边cmd下删除此d1l才把它干掉。）  可那个312bus.sys.又是什么呢，连具体路径都没有显示。没办法搜索一下c盘算了，果然在driver目录下找到它，DEL  这样该没问题了 吧…… 重新启动。。。。。。。   重复以上劳动，天网防火墙上那可恶的tcp连接依然存在。想了半天，利用天网的进程拦截，把IE彻底停止外连，这样可以专心的分析下去。不过进程中iexplore依然存在，刚启动的机器，IE都没打开呢，它就开了，……联系关闭几次，都立刻复活。    换个思路，去和偶家诺诺（cnxhacker站长）砍了半天大山，想了想思路。拉来了Windows优化大师自带工具WinProcess继续分析，这个小东西就是猛啊，可以详细的显示进程列表和当前进程的详细信息：模块信息，内存信息，设备驱动程序等。    果然，在眼花了半个小时左右，终于在模块信息中发现一些眉目  就是  C:\WINDOWS\system32\Yelfbaav.d1l    （又是D1L）  C:\WINDOWS\system32\Yelfbaav.dll   (这个当时还没发现呢)  看到Yelfbaav.d1l就是一阵欣喜，忙了一个多小时，也该ok了吧。一边关IE，一边删除，重复n次都没结果。那么，一定还有其他文件一起关联着，否则不会这么麻烦，又花去了1个小时的眼花时间和重新启动。终于找到了另外一个Yelfbaav.dll。   一边关IE，一边删dll真是太累了。  看看PID想一下  c:\pslist  iexplore    2060   8   2  129   4188   0:00:00.031   0:00:00.062    0:00:21.953  整个bat简单撒 del.bat//  c:\1\pskill  iexplore     （pskill可以直接杀掉进程名，不一定非要PID才行，因为IE每次派生PID都不同）  del  /s /Q C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.dl1  del  /s /Q C:\WINDOWS\system32\Yelfbaav.d1l  del  /s /Q C:\WINDOWS\system32\Yelfbaav.dll    ……  我删，我删，我删删！！~  奇怪，  C:\WINDOWS\system32\Yelfbaav.d1l  拒绝访问。  …………没办法中，又苦苦想了好久，找来了CopyLock   前面提了，这是一个可以让你替换，关闭系统正在使用的文件。（什么，不会用？把要k的任意文件,rm,dll,xls,exe等都可以拖拽到此软件中就可以啦。）  顺利干掉Yelfbaav.d1l。重新启动， 一些ok。天网不报警了  ，IE却依然还开着。  后来又拿knlsc看了一遍（看看还有什么残留的东西）  knlsc -law     : List Automatic Win32 services.  其中  >dmserver          服务名叫dmserver   Logical Disk Manager   [Win32] [Auto][2005-09-04 03:27:23]   %SystemRoot%\System32\svchost.exe -k netsvcs   %SystemRoot%\System32\Yelfbaav.d1l   这里加载  （就是从dm上判断，以前点击的那个dw的exp有问题）   在这里knlsc  -l >>c:\list.txt    也可以查看的满详细，不过文件太多  晕，是我犯迷糊哦，如果早点能发现此服务，停掉它不就一切ok了？！  knlsc  -cd  dmserver    禁止此服务   （注意，一定重启以后才有效）     重启，……搞定！  ………………………………………………………………………………………………  文章写的满罗嗦的，不知道大家看累了没有，其他我是想写一下分析过程中的一些思路和部分原理，免得大家认为装个杀毒的或者木马克星什么的就一些ok。  木马广告：  此木马写的相当不错，它集隐藏服务，端口（ip），进程于一身，而且加载驱动程序，伪造dll为d1l和dl1，弄的我好多次都没能删除掉，几乎赶上了rookit工具。一个sys驱动，俩个服务，一个隐藏，一个动态。三个dll加载互相关联派生，而且名字很有迷惑性，dll,d1l,dl1  感慨一下，现在的木马病毒啊 ，弓虽  至于ip被发现呢是因为俺装了防火墙。（邪不胜正？）  解决和预防方法：  一般来说，最基本的杀毒软件和网络防火墙一套，差不多已可保障大部分木马病毒无效（穿透防火墙例外），如普通用户种了上面描述的类似病毒，推荐还是重新做系统或者硬盘恢复。（系统还原和ghost，还原卡等技术就很不错），如想手工清除就按思路走一下  看进程----看端口---看服务------查开机启动----查隐藏服务（服务太多，估计够戗）----关联进程或者伪造进程（类似d1l和lssae这样的迷惑性很强的名字）---清除dll和sys   此过程中间夹n次重启，再碰到一些比较麻烦的感染exe或者CopyLock都杀不了程序，推荐把硬盘摘下来挂到别的机器上当从盘手工清除。
文章录入：IceRiver    责任编辑：IceRiver
	上一篇文章： 木马病毒清除全过程文字回放 下一篇文章： 手工剿灭木马“advapi32”
【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				微软携安全厂商建统一战线 M 警惕：又一个通过 MSN传播的 杀毒软件网络防火墙一个都不 asp+语法介绍（二）-书写我们 shell编程例子 -- 一个简单的 shell编程例子 -- 一个.cshr shell编程例子 -- 一个.logi 探密QQ登陆加密算法兼谈简单 一个最优的算法 一个木马加多层壳

网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）

关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM

© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.