zoukankan      html  css  js  c++  java
  • 掐住吃内存大虫的喉咙——find.exe和cmd.exe和Rar.exe病毒

    掐住吃内存大虫的喉咙——find.execmd.exeRar.exe病毒

    我们都听说过,贝多芬“掐住命运的喉咙”这句响亮而霸气的话语。最近,本想开始写日志的时候,一个“大虫”挡在我的前面——find.execmd.exeRar.exe病毒,笔记本装的XP,这三个进程反复开启,每次开机之后不到5秒系统就停止了动作了。我不想跟这条大虫纠缠,就索性直接GHOST了,然而没想到,恢复后,立刻死灰复燃,用另一设备查看网络上说明,都是说无法杀掉。无奈啊,我机器上那么多资料加优盘上那么多的文件都感染了(大概500G),于是抄起家伙,我要掐住这无聊大虫的喉咙。

    查看网络上对该病毒的解法,大致是:删掉所有的.exe,或者格式化所有盘符。OH,GOD,我的那么多资料啊。不可行。我决定自己搞。

    插入一些话:我真的很鄙视这帮制造病毒的家伙,许多病毒都没什么技术含量,纯属给国内的杀毒软件充数而已,有人甚至怀疑这些病毒就是杀毒软件制造商释放的(怀疑而已),病毒制造者们,能否出点新意,像CIH那样的病毒,似乎好多年都没见了,这些躲猫猫的玩意,真的很无趣。

    XP没有死机之前,我启动了任务管理器,看到了一堆的find.execmd.exeRar.exe,还没来得及操作,机器就死机了。

     

    转入正题:如何破解这个病毒的反复扩散吃完内存的怪圈呢?

    因为XP正常启动是一会就死,那就进安全模式吧。

    还好安全模式进入了,启动跟踪工具,跟踪得到如下信息:

     

    红色框内的信息是有问题的,这类东西不应该出现,特别是注意到:

    该病毒已经关联到svchost.exe中和msinfo32.exe系统文件了。

    检查启动组:

    启动组还算正常,这两个圈住的desktop.ini,一直都有,这也是个小型的后门程序,我一直没有管它。我曾开发一个专门杀它的专杀程序,这次看到了还是一并解决到底吧。

     

    看到这一步,我首先决定手动删除:find.exeRar.exe(跟踪地址显示器为winRar.exe,因此我怀疑所有的.rar可能被感染)。Cmd.exe不能删,cmd.exe是应该只是执行了某些指令,是一个桥梁,这个不需要删除。然后看病毒如何应对该情况。

     

    找到find.exe查看文件:

    第一步尝试处理:

    删除:c:\windows\system32\find.exe

    卸载 winRar

    重启机器。

     

    正常进入XPCTRL+ALT+DEL手动打开任务管理器,虽然没有出现find.exe,机器仍然在数秒内死机。

    所以,应该有其他程序嵌入运行,重新进入安全模式。

    使用工具重新检查启动项,没有发现关联的启动项目,但是仔细再次看这些启动监视记录:

    发现如下可疑的启动进程。

    .tmp文件结尾一般为临时文件,很显然这些文件的名字非常奇怪也很好辨认,根据其与svchost.exe的关联,可以发现这些.tmp文件是在使用svchost.exe运行一些系统命令(例如创建进程和文件一类的命令),.tmp文件一般是为某些进程单独服务的,可以认为这是一种“注入”手法(我个人认为),可以断定这些.tmp也是非常关键的,那么找到多少删除多少,看它怎么办。

    删除所有能够找到的.tmp

    然而这次只找到少量的.tmp,没有找到hrl12.tmp这类命名的文件。

    我删除这些后,正常重启xp,仍然数秒后死机,很沮丧,到底是什么原因?如果这些病毒已经到达驱动级别,我检查服务以及驱动联系是很繁琐的,所以我认为可能未删干净。

     

    再次回到安全模式下,重新执行查找:

    终于找到以hrl命名的tmp,就是它们果断删除。

     

    这里思考为什么两次才能够删除,而后才不发作呢,我们会自然有疑问:思考如下>>>目前我们只知道这是一种注入式的执行程序。没有其他线索,因此应当继续挖掘。 

     

    重启回到正常XP模式下,机器刚开始顿了一下,然后并没有像往常一样死掉,欢呼,但是我知道所有的文件里面一定存在病毒残余。于是开始清除残余工作。

    启动更高级的监视程序,发现在内核模块中有一个DLL被广泛引用:

    Lpk.dll   

    lpk.dll在许多目录下均存在,初步判定为病毒。卸载该内核模块。

     

    使用工具,对系统进行优盘免疫(新装的系统,还没有进行免疫)。

     

    尝试将优盘接入,在根目录下显示所有文件(使用自己编写工具强制显示隐),并没有看到lpk.dll

     

    此时颇为疑惑,然而一旦启动某个.exe文件,立刻在内核模块中发现lpk.dll产生,因此判断在.exe中有某种绑定关系。

     

    那么交给杀毒软件吧,安装免费版的KV3000,然后升级至最高版本,一会功夫,杀完了所有该病毒,查看清单,一大串的lpk.dll,以及一些残留木马(该病毒不仅占内存,而且主动从网上下木马,我的机器是联网的)。

     

    这里思考为什么两次才能够删除呢:我们知道这是一种注入式的执行程序。而且是依靠动态链接库实现的与.exe文件绑定,只有在执行被感染.exe文件的时候,这些.tmp文件才会被创建,也就是说这种.tmp的生存周期是有限的,甚至是“碰巧激活”的(因为受感染的文件是你当时不确定的,你激活了哪个也是不确定的)。 

    OK,至此,掐住了该大虫的喉咙,后斩断之,到此结束。希望网友们都可以搞定该病毒,没有想象那么可怕。

    欢迎转载,转载请注明出处。本文出自:http://www.cnblogs.com/zdcaolei
    0
  • 相关阅读:
    判断目录下的文件是否为图片
    多个视图结果显示于一个共用预览视图内
    最原创的验证码产生过程,桃花朵朵开
    ASP.NET MVC实现剪切图片
    ASP.NET MVC应用程序把文字写在图片上
    MVC把随机产生的字符串转换为图片
    ASP.NET MVC验证码演示(Ver2)
    ASP.NET MVC验证码演示
    linux负载均衡总结性说明(四层负载/七层负载)
    MySQL 优化系列(1)-- InnoDB重要参数优化
  • 原文地址:https://www.cnblogs.com/zdcaolei/p/2405359.html
Copyright © 2011-2022 走看看