My Opera终于干掉了Spy-agent.bv.dldr
Sunday, November 25, 2007 7:01:40 AM
这个小马在我机器里至少待了有小半个月了,最近我机器越来越慢,而且每次开机,Mcafee都跳出小窗,告诉我小马又给我下了个后门程序,弄得我很是不爽,今天本来要看NBA的,结果给他弄得心情糟糕了,决定要根治这个问题。
首先Google若干,看了半天都说这个算是Rootkit木马,也没说怎么清楚,看了Mcafee官方的,也只是说是低风险,搞了所谓的一套,无非就是买他的软件,装最新的引擎和定义库,然后说就药到病除了。如果真实情况有这么简单的话,谁还要在大半夜的搞这个。不信之,当然,这对于以后我对于这个木马的走势判断还是起了一定作用的,毕竟它给出了这个木马起码的症状以及可能感染的文件。
下一步,我很愚蠢的,不,应该是很幸运的将 winlogon.ex_从我的安装文件夹里复制出来,后来证明我要替换掉winlogon.exe文件的举动是错误的,但是拷贝出这个初始的原始文件是正确的(P.S. 这个初始的文件也是SP2版本的,当初还是我用自己笔记本原始的XP光盘用微软的命令打上了SP2得到的这个版本。)。我在一张中文的XP的安装盘启动之后,用故障控制台进去,因为德文的那张home恢复盘居然没这个选项,不过只需要中文的进到有故障控制恢复台的选项之后,插入德文的盘,然后按R,照样能进入故障恢复控制台,然后使用了expand的命令,想把那个ex_文件恢复成exe文件,结果失败,我愣了,冒汗了,因为我之前已经手脚太快,把那个我认为可能感染的winlogon.exe已经删除了。我也不知道怎么回事情,直接就把德文盘上的那个版本比SP1都低的winlogon.exe文件expand过去了,结果登陆的时候,跳了SAS的错误(winlogon.exe必须和Windows的版本号一致),按了OK就重起了,我只好又回到故障控制台下,用copy,直接把那个ex_复制成winlogon.exe,我记得从前在dos时代,曾经遇到过这样的核心文件,一般是很少压缩的,一般可以直接改掉扩展名直接使用的,如果这次还不行,我不得不面对因为自己一次不慎的选择导致的全盘重新安装的结果。当然这绝对不是我想要的结果。幸好再次重起之后,安全进入登陆界面,登陆之后,发现症状依然,然后先治标,治完之后,开始逐个研究Windows的每个目录里面的文件,直到我注意到temp目录下有个startdrv.exe,我一看,突然想起来似乎半个月之前,也是差不多出现这个症状的时候也曾经看到过这个文件,一开始我以为是摄像头程序也没在意,现在看了一下,还是发现了这个问题不是我想象得那么简单。于是马上调出msconfig,直接禁用所有启动项,只保留最基本的设备,然后重起,果然,这马在重起之后报错退出,我心里基本上有底了,去temp下把那个startdrv.exe删除了,然后把原来一直被感染的ip6fw.sys从DLLCACHE里面恢复了一下(这个马最喜欢把这个防火墙的文件替换掉),然后注册表service 里面那几项重新看了一下,没问题,然后重起,终于正常了,感觉瞬间好多了,可惜没看成NBA,甚至差点重装。
总结这个木马如下:
首先,网上流传的那些所谓的注入Iexplore.exe和winlogon.exe等现象,在我这里都没发现,我特意用MD5去逐个校验过,没发现这样的现象。
其次,木马还是老手段,通过这种启动项的文件来达到控制甚至终结后启动的反病毒程序以及防火墙的目的。
再次,这种木马将自己的权限提升到Administrator级别的,即使我在Administrator下设置了我不能修改它感染的文件,我先将被感染文件替换成好的文件,然后将其定义权限为只读,但是重起之后,由于木马的rootkit威力,我在自己的管理账户下都无法修改那个文件,木马还是将那个文件替换掉了。
接着,这个小马影响的不只是系统的速度,还有网络的速度,甚至每次启动的时候,把我硬盘的温度传感器给屏蔽了(其实也不是屏蔽,就是mobilmeter没法显示,但是hdtune和everest都能显示),启动的时候,我的VS要载入好半天,坏处多多~
从前也搞过中搜的木马,搞过雅虎的小助手还有什么某猪的小马,这个似乎级别还上不了那个层面,只是Google到的那些个新闻,让我高估了他的实力,以至于很简单的一开始就能发现的那个隐藏的启动项,我居然一直都忽略去检查了。
写下此文,作为对于此次冒险经历的纪念,亦供后人在杀此种木马时候参考之用。
首先Google若干,看了半天都说这个算是Rootkit木马,也没说怎么清楚,看了Mcafee官方的,也只是说是低风险,搞了所谓的一套,无非就是买他的软件,装最新的引擎和定义库,然后说就药到病除了。如果真实情况有这么简单的话,谁还要在大半夜的搞这个。不信之,当然,这对于以后我对于这个木马的走势判断还是起了一定作用的,毕竟它给出了这个木马起码的症状以及可能感染的文件。
下一步,我很愚蠢的,不,应该是很幸运的将 winlogon.ex_从我的安装文件夹里复制出来,后来证明我要替换掉winlogon.exe文件的举动是错误的,但是拷贝出这个初始的原始文件是正确的(P.S. 这个初始的文件也是SP2版本的,当初还是我用自己笔记本原始的XP光盘用微软的命令打上了SP2得到的这个版本。)。我在一张中文的XP的安装盘启动之后,用故障控制台进去,因为德文的那张home恢复盘居然没这个选项,不过只需要中文的进到有故障控制恢复台的选项之后,插入德文的盘,然后按R,照样能进入故障恢复控制台,然后使用了expand的命令,想把那个ex_文件恢复成exe文件,结果失败,我愣了,冒汗了,因为我之前已经手脚太快,把那个我认为可能感染的winlogon.exe已经删除了。我也不知道怎么回事情,直接就把德文盘上的那个版本比SP1都低的winlogon.exe文件expand过去了,结果登陆的时候,跳了SAS的错误(winlogon.exe必须和Windows的版本号一致),按了OK就重起了,我只好又回到故障控制台下,用copy,直接把那个ex_复制成winlogon.exe,我记得从前在dos时代,曾经遇到过这样的核心文件,一般是很少压缩的,一般可以直接改掉扩展名直接使用的,如果这次还不行,我不得不面对因为自己一次不慎的选择导致的全盘重新安装的结果。当然这绝对不是我想要的结果。幸好再次重起之后,安全进入登陆界面,登陆之后,发现症状依然,然后先治标,治完之后,开始逐个研究Windows的每个目录里面的文件,直到我注意到temp目录下有个startdrv.exe,我一看,突然想起来似乎半个月之前,也是差不多出现这个症状的时候也曾经看到过这个文件,一开始我以为是摄像头程序也没在意,现在看了一下,还是发现了这个问题不是我想象得那么简单。于是马上调出msconfig,直接禁用所有启动项,只保留最基本的设备,然后重起,果然,这马在重起之后报错退出,我心里基本上有底了,去temp下把那个startdrv.exe删除了,然后把原来一直被感染的ip6fw.sys从DLLCACHE里面恢复了一下(这个马最喜欢把这个防火墙的文件替换掉),然后注册表service 里面那几项重新看了一下,没问题,然后重起,终于正常了,感觉瞬间好多了,可惜没看成NBA,甚至差点重装。
总结这个木马如下:
首先,网上流传的那些所谓的注入Iexplore.exe和winlogon.exe等现象,在我这里都没发现,我特意用MD5去逐个校验过,没发现这样的现象。
其次,木马还是老手段,通过这种启动项的文件来达到控制甚至终结后启动的反病毒程序以及防火墙的目的。
再次,这种木马将自己的权限提升到Administrator级别的,即使我在Administrator下设置了我不能修改它感染的文件,我先将被感染文件替换成好的文件,然后将其定义权限为只读,但是重起之后,由于木马的rootkit威力,我在自己的管理账户下都无法修改那个文件,木马还是将那个文件替换掉了。
接着,这个小马影响的不只是系统的速度,还有网络的速度,甚至每次启动的时候,把我硬盘的温度传感器给屏蔽了(其实也不是屏蔽,就是mobilmeter没法显示,但是hdtune和everest都能显示),启动的时候,我的VS要载入好半天,坏处多多~
从前也搞过中搜的木马,搞过雅虎的小助手还有什么某猪的小马,这个似乎级别还上不了那个层面,只是Google到的那些个新闻,让我高估了他的实力,以至于很简单的一开始就能发现的那个隐藏的启动项,我居然一直都忽略去检查了。
写下此文,作为对于此次冒险经历的纪念,亦供后人在杀此种木马时候参考之用。
