瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 与网页木马“群殴”记
baohe - 2007-4-6 11:27:00
近一段时间,网页木马群猖獗。
中招,一般是访问某些挂马的网页时,成堆的木马下载到IE临时文件夹中并悄悄运行。用户发现系统异常时,系统内已经木马成堆了。这类木马群的内容各式各样,但有一点相同之处:其中的病毒模块(常见的是dll文件)狂插系统及应用程序进程,导致杀毒困难。
未打微软的ANI漏洞补丁是中这类网页木马的主要原因。

今天见到有人反映类似情形。按照他给的网址,在未打ANI漏洞补丁的系统上,用IE6.0访问了那个网页。结果如愿以偿,终于第一次亲眼见识了一下ANI漏洞的“风采”。

以下列出中招后用SRENG和IceSword灭掉这群木马的实战流程,供中招的朋友们实战参考。

0、用SRENG 2.3 扫系统日志,保存日志,掌握中毒后的基本情况并为手工杀毒提供必要信息。

1、运行IceSword,禁止进程创建。

2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1464][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 440][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1832][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2572][C:\Program Files\Rising\Rav\RAVMON.EXE]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45] 
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 3304][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]   
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2772][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2524][C:\WINDOWS\system32\notepad.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]   
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1696][C:\program files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] 
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1800][C:\windows\wsttrs.exe]  [N/A, N/A] 
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
[PID: 1000][c:\Syswm1i\svchost.exe]  [N/A, N/A]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A
[PID: 3020][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  [Computer Associates International, Inc., 6.5.1.59]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1348][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
注:由于IceSword是中毒后运行的,因此应查看其进程中是否有病毒模块插入。如果有,须卸除之。
3、删除病毒文件(图1)。
注:C:\Documents and Settings\baohelin\Local Settings\Temp\ie777.exe只有用IceSword才能找到并删除(图2)。ie777.exe似乎是这群木马的“灵魂”,其进程为“隐藏”,但用IceSword和SSM均可见此进程。

4、根据SRENG日志所见,清理注册表(删除下列注册表项):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]分支下的:
    svc
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]分支下的:
    333
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]分支下的:
    winform
    mppds
    upxdnf
    msccrt

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的:           
WindowsDown

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的:
NPF

注意:C:\windows\system32\servet.exe感染U盘、移动硬盘等移动存贮介质。如果系统中毒时USB口上有这类设备,请右键打开这些设备,删除其根目录下的autorun.inf和servet.exe。

图1

附件: 155847200746111810.jpg
baohe - 2007-4-6 11:28:00
图2

附件: 155847200746111839.jpg
月夜追病毒 - 2007-4-6 11:33:00
昨天花了我1个多小时,手动杀了...U盘丢了,我的工具软件啊..............
想睡觉的星 - 2007-4-6 11:34:00
帅~终于见猫叔出解决木马群的方法了~学习了
顺便赶紧解决~
但是怎么没见有crs.exe呢,为什么我中的木马群里就有这个?
baohe - 2007-4-6 11:39:00
引用:
【想睡觉的星的贴子】帅~终于见猫叔出解决木马群的方法了~学习了
顺便赶紧解决~
但是怎么没见有crs.exe呢,为什么我中的木马群里就有这个?
………………

已经说了:这类木马群的内容各式各样
带crs.exe的木马群————只是其中一种情形。
之乎者也 - 2007-4-6 11:40:00
猫叔,结束Explorer.EXE进程之后,怎样还原桌面以便操作,谢谢
阿榭 - 2007-4-6 11:45:00
这个病毒有什么表现呀?今天早上开了QQ游戏以后,就有网页不断地打开,关都关不掉。是不是这个?
baohe - 2007-4-6 11:48:00
引用:
【之乎者也的贴子】猫叔,结束Explorer.EXE进程之后,怎样还原桌面以便操作,谢谢
………………

如果用IceSword禁止了“进程创建”,需先取消IceSword的“禁止进程创建”。
然后,按Ctrl_Alt_Del组合键,调出WINDOWS的任务管理器,点击其窗口栏上的“文件”、“新建任务”,在小窗口中键入explorer.exe,按回车。
如果中了禁用任务管理器的病毒,没搞掂病毒之前,这招不灵。
UFO不幸外人 - 2007-4-6 12:44:00
斑竹强啊!佩服,学习中
这类群木马有很多.
carabe - 2007-4-6 12:57:00
NPF.SYS
WANPACKET.DLL
PACKET.DLL
不是病毒体吧,虽有人把NPF.SYS作为arp的病毒体,但是这几个文件也是许多软件必须的,删除就无法运行
天月来了 - 2007-4-6 13:18:00
呵呵!!!!!!1


知道了,

我晕!!!!!

又学了。

简单的说一说,害我想半天。

还是我学的不行。

我再学!!!!!!!!!!!!!!
spiritfire - 2007-4-6 14:05:00
猫叔这几天发帖很频!
baohe - 2007-4-6 14:07:00
引用:
【carabe的贴子】
NPF.SYS
WANPACKET.DLL
PACKET.DLL
不是病毒体吧,虽有人把NPF.SYS作为arp的病毒体,但是这几个文件也是许多软件必须的,删除就无法运行
………………


我说这三个文件是那堆网马中的,是有根据的。
1、访问那个网址前,开着Tiny的Activity Monitor。访问该网页后,Activity Monitor的记录中明确显示————图1、图2所示的那些文件(当然也包括这三个)是IE临时文件夹中的d[1].exe、1.exe、2.exe..........7.exe运行后释放的。
这三个文件属于什么,不言自明。
2、你说的WANPACKET.DLL和PACKET.DLL在“当前用户临时文件夹”中。从未听说过这个文件夹中的文件是系统必须的文件。“当前用户临时文件夹”本来就应该定时清空。
至于drivers文件夹中的NPF.SYS,我玩儿过的多个木马中都涉及这个驱动程序的释放。如果你认为它是系统文件,那你就养着吧。我是不会保留这类东东的。
3、删除那三个文件后,我的系统无任何异常。
scriptman - 2007-4-6 15:03:00
大叔一直写文章让他们用些工具处理些问题,冒昧地说,其实我本人倒不赞成这种做法.这个木马群虽然多,但不至于用手工清除不了,我之所以不赞成用工具,主要是想让那些中这样木马群的人们了解下中招的解决过程,我一般是让他们手工解决,这样会培养他们自己解决问题的能力,并且知道什么是正常的什么是不正常的,省得每次中招自己不知所措,总要求别人解决,说实话,不劳而获的大有人在.象大叔提供的日志我见过不少,一般手工都能解决,所希望的是他们能自己解决,自己重视,否则同样的问题要问无数遍.
关于NPF这个,我以前也是告诉他们删除掉,但好象现在有些学校的上网软件都需要这个,其实就象FORMAT命令一样,有人用它装系统有人用它破坏系统.
以下是在看别人日志后的手工解决办法,请勘正.



断网,安全模式下进行操作.

打开注册表编辑器.
定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,删除svc
定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,删除333
定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除:
winform
mppds
upxdnd
msccrt
重启系统,显示隐藏文件,删除:
C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe
C:\Syswm1i\svchost.exe
C:\windows\winform.exe
C:\windows\mppds.exe
C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.exe
C:\windows\msccrt.exe
C:\Syswm1i\Ghook.dll
C:\windows\system32\winform.dll
C:\windows\system32\mppds.dll
C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.dll
C:\windows\system32\msccrt.dll

日志情况请见http://bbs.9ipc.net/dispbbs.asp?boardID=8&ID=15775
baohe - 2007-4-6 15:22:00
引用:
【scriptman的贴子】大叔一直写文章让他们用些工具处理些问题,冒昧地说,其实我本人倒不赞成这种做法.这个木马群虽然多,但不至于用手工清除不了,我之所以不赞成用工具,主要是想让那些中这样木马群的人们了解下中招的解决过程,我一般是让他们手工解决,这样会培养他们自己解决问题的能力,并且知道什么是正常的什么是不正常的,省得每次中招自己不知所措,总要求别人解决,说实话,不劳而获的大有人在.象大叔提供的日志我见过不少,一般手工都能解决,所希望的是他们能自己解决,自己重视,否则同样的问题要问无数遍.
关于NPF这个,我以前也是告诉他们删除掉,但好象现在有些学校的上网软件都需要这个,其实就象FORMAT命令一样,有人用它装系统有人用它破坏系统.
以下是在看别人日志后的手工解决办法,请勘正.



断网,安全模式下进行操作.

打开注册表编辑器.
定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,删除svc
定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,删除333
定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除:
winform
mppds
upxdnd
msccrt
重启系统,显示隐藏文件,删除:
C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe
C:\Syswm1i\svchost.exe
C:\windows\winform.exe
C:\windows\mppds.exe
C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.exe
C:\windows\msccrt.exe
C:\Syswm1i\Ghook.dll
C:\windows\system32\winform.dll
C:\windows\system32\mppds.dll
C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.dll
C:\windows\system32\msccrt.dll

日志情况请见http://bbs.9ipc.net/dispbbs.asp?boardID=8&ID=15775
………………

条条大路通罗马。
解决问题,可以不拘一格。目的————杀净病毒。

另:C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe——————这个文件是隐藏的(用WINRAR也看不到)。不知完成清理注册表、重启系统后能否看到。
我是在系统中毒状态下,在WINDOWS环境中,用IceSword一口气搞掂的。
用过IceSword的人都知道:用IceSword删除文件,不可能得到图1。因为iceSword直接删除文件(被删文件不进入回收站)。
图1是再次中此木马群后,想办法手工删除文件得到的。目的是:
1、告诉中招者,解决问题的办法也许不止一种。
2、让他们看清楚该删除哪些文件、这些文件在什么地方。
scriptman - 2007-4-6 15:29:00
那是,目的是解决问题,但有大部分人连注册表都不会进,使用工具能学会解决方法也是不错了.
关于IE777,感觉去掉启动项,即使看不到也不会有什么影响,除非这个程序的作者会让它自己发作.
大叔能否将那个恶意网址给我?如果在这里不方便可以给个悄悄话,谢谢大叔.
baohe - 2007-4-6 15:34:00
引用:
【scriptman的贴子】那是,目的是解决问题,但有大部分人连注册表都不会进,使用工具能学会解决方法也是不错了.
关于IE777,感觉去掉启动项,即使看不到也不会有什么影响,除非这个程序的作者会让它自己发作.
大叔能否将那个恶意网址给我?如果在这里不方便可以给个悄悄话,谢谢大叔.
………………

网址没记下来。
那个网址是在这个论坛里,看到一个网友求助帖子见到的(今天的帖子)。当时的兴奋灶在:怎样将木马群引入系统(我那个Tiny的N个规则需要临时修改,否则,木马群不能完整进入系统)
那帖子,我也没收藏。现在不知沉到那里去了。
有时间,自己找找吧。
努力学习技术 - 2007-4-6 16:15:00
虽然木中,,但学到了很多东西,,谢谢。
scriptman - 2007-4-6 17:01:00
引用:
【baohe的贴子】
网址没记下来。
那个网址是在这个论坛里,看到一个网友求助帖子见到的(今天的帖子)。当时的兴奋灶在:怎样将木马群引入系统(我那个Tiny的N个规则需要临时修改,否则,木马群不能完整进入系统)
那帖子,我也没收藏。现在不知沉到那里去了。
有时间,自己找找吧。
………………

哦,谢谢大叔,我自己找找看.
kkic - 2007-4-6 17:04:00
有个问题 不知道提在这里是否合适 我看过那个关于Trojan-PSW.Win32.OnLineGames.mu的帖子 我好象也感染了(用金山在线查毒之后才知道的)

不过我的机器里好象还有ADX广告变种 任何安全软件都没法用了 装都装不上 当我艰难地关闭一个网页之后 瑞星也自动关闭了....

不知道楼主有没什么好办法 谢谢了...
逍遥浪子45 - 2007-4-6 18:21:00
嘿嘿,学习了,DB用户建议去黑防下载漏洞补丁吧,微软下载需要正版验证.....或者用360,漏洞扫描等工具修复吧..看来危害蛮重的!~
另壶冲 - 2007-4-6 19:06:00
[c:\Syswm1i\Ghook.dll] [N/A, N/A]这个最近十分流行
还有你说的这个木马群。
最爱解剖 - 2007-4-6 19:58:00
好象很复杂啊,有没有更简单的啊,希望瑞星出来一个专杀出来就好了
调皮女孩 - 2007-4-6 20:04:00
太深奥了 ,我这个初级阶段还不太懂~
天空的微笑 - 2007-4-6 20:25:00
我就是中了这个木马群,baohe大叔你看到我的短信了吧。

其他都被DrWeb和avast干掉了,只剩下servet和down[1].exe,

那个网站是:www.997.cn。
我是来来 - 2007-4-6 20:30:00
study.
天空的微笑 - 2007-4-6 20:30:00
具体经过:

昨天,在网上搜索look'n'stop,进去一个网站:

www.997.cn/SoftView/SoftView_5816.html

DrWeb马上报警,选择move操作。

有点好奇,看到上面有主站链接,于是点击。

网址是: www.997.cn

接着。。。。。。

DrWeb和avast疯狂报警。

DrWeb干掉7个,2个为启发式。

avast终止两个连线。

断网。

当时以为就这样没事了。

说知。。。。。。

出于安全考虑,打开Hijackthis扫描,DrWeb马上报警。



扫描后发现有一个可疑服务项:

SystemDown

文件路径:C:\Windows\system32\servet.exe

明显是木马程序。

DrWeb和avast两道防线被攻破了。

进去system32文件夹,没找到文件。

在“查看”里设置显示系统文件和受保护的文件和显示所有文件和文件夹。

还是看不到。

最后只好用SReng删除这个服务项。

删除后再打开Hijackthis扫描,这次DrWeb没有报警。

再用SReng扫描一遍,没发现什么异常。

然后拨号上网,打开VB浏览器的时候,

DrWeb和avast一起报警:

"Win32:Tibs-ADO [Trj]" has been found in "C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe" file.



用DrWeb删除,发现无法删除。

用avast隔离,提示正在被使用,无法访问。

选择删除。

avast没有反应。

对了,忘了说一点,之前用瑞星防火墙发现:

进程中有cmd.exe,并且命令行好像是:(具体记不清了)

system32下的delete什么的.bat后缀名文件。

删除那个服务后就没这种情况了。

重新启动,为得是让avast删除那个文件。

启动后,再次拨号上网打开VB浏览器(注目一点,我在用星空极速,默认打开VB浏览器,虽然我总是用IE)

avast再次报警。

仍然无法访问。

下载瑞星文件粉碎工具,把路径填进去却提示没有找到文件。

只好把SSM装上,再次打开VB浏览器,

这时SSM提示资源管理器运行VB浏览器,(记不清了,很有可能搞错了)

但是可以确定的是:

命令行为运行C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe

用SSM禁止。
天空的微笑 - 2007-4-6 20:33:00
现在好了,装上SSM了。
baohe - 2007-4-6 20:46:00
【回复“天空的微笑”的帖子】
你可以参考这个帖子,灭掉那堆木马。没问题。
天月来了 - 2007-4-6 20:49:00
唉!!!!!!!!

累哦!!!

总不成,大家都搞SSM  ??????????????

这要是病毒再突破SSM

以后日子怎么过???????????

123
查看完整版本: 与网页木马“群殴”记