shualai.exe病毒及手工查杀流程 bbs.ikaka.com

baohe - 2007-4-17 10:18:00

感谢网友not提供样本。

这是个利用ANI漏洞传播的木马群，其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。

另：中招后，系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。

中招后的“症状”：进程列表中可见shualai.exe进程。

建议：用SRENG扫份日志保存，以便弄清基本情况，便于后面的手工杀毒操作。

手工查杀流程如下（用IceSword操作）：

1、禁止进程创建。

2、根据SRENG日志，先结束病毒进程shualai.exe以及所有被病毒模块插入的进程（病毒插入了哪些进程，取决于你当时运行的程序。以下是我运行该样本后的例子。）

[PID: 484][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]

[PID: 2252][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]

[PID: 3880][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2760][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2548][C:\windows\shualai.exe] [N/A, N/A]

3、删除病毒文件（图1）；清空IE临时文件夹。

4、删除病毒启动项（图2）。

5、取消IceSword的“禁止进程创建”。

6、修复hosts文件。

注：系统分区以外的那些被病毒感染的.exe——估计是没救了。

图1

附件: 1558472007417100851.jpg

baohe - 2007-4-17 10:19:00

图2

附件: 1558472007417100925.jpg

姑苏残月 - 2007-4-17 10:26:00

老猫终于换软件说病毒了,恭喜恭喜

天月来了 - 2007-4-17 10:48:00

被你抢了先！！！

死残月！！！

菜鸟玩病毒 - 2007-4-17 10:50:00

学习.....

姑苏残月 - 2007-4-17 10:51:00

引用:

【天月来了的贴子】被你抢了先！！！

死残月！！！
………………

丫的,和我抢,你还要练几年啊

天月来了 - 2007-4-17 10:51:00

猫猫啊！！！

你第4、删除病毒启动项（图2）。

是用冰刃删除的吗？？？？？？？？

baohe - 2007-4-17 11:05:00

引用:

【天月来了的贴子】猫猫啊！！！

你第4、删除病毒启动项（图2）。

是用冰刃删除的吗？？？？？？？？

………………

图2是autoruns显示的病毒启动项。
贴此图，目的是方便中招者找到这些启动项，并不是一定要他们用autoruns去删除这些启动项。
系统分区的病毒文件都删除后，用哪个工具去删除这些注册表项————并不重要。
我的习惯是————用IceSword一口气搞掂。

考虑一种特殊情况：
如果有人将autoruns等工具放在了系统分区以外，此时运行autoruns————麻烦大了！！

姑苏残月 - 2007-4-17 11:09:00

引用:

【baohe的贴子】
图2是autoruns显示的病毒启动项。
贴此图，目的是方便中招者找到这些启动项，并不是一定要他们用autoruns去删除这些启动项。
系统分区的病毒文件都删除后，用哪个工具去删除这些注册表项————并不重要。
我的习惯是————用IceSword一口气搞掂。

考虑一种特殊情况：
如果有人将autoruns等工具放在了系统分区以外，此时运行autoruns————麻烦大了！！
………………

什么麻烦?怎么讲

baohe - 2007-4-17 11:11:00

引用:

【姑苏残月的贴子】
什么麻烦?怎么讲
………………

中此毒后，系统分区以外的.exe全被感染。

姑苏残月 - 2007-4-17 11:14:00

引用:

【baohe的贴子】
中此毒后，系统分区以外的.exe全被感染。
………………

哦,我说我怎么一直没碰到麻烦呢.
我把它做到光盘镜像中了,一般使用是从那里面调用,呼呼

饭后点心 - 2007-4-17 11:23:00

猫叔,把AUTORUNS改成.COM的话应该不会被感染了吧.我是说在中毒前就改成.COM的后缀.
还有一点,有病毒能在IFEO里面动手脚把AUTORUNS弄掉吗?IS可以被弄掉,但AUTORUNS还没见过.

baohe - 2007-4-17 11:26:00

引用:

【饭后点心的贴子】猫叔,把AUTORUNS改成.COM的话应该不会被感染了吧.我是说在中毒前就改成.COM的后缀.
还有一点,有病毒能在IFEO里面动手脚把AUTORUNS弄掉吗?IS可以被弄掉,但AUTORUNS还没见过.
………………

1、改文件名后缀，未必能抗住所有感染型病毒。遇到那种不挑食的病毒（http://forum.ikaka.com/topic.asp?board=28&artid=8298790）————改过后缀的程序也一样死。
2、IFEO这种把戏没什么了不起。只要程序文件没被病毒感染，改名，即可运行。

孤独更可靠 - 2007-4-17 11:30:00

的确,直接用覆盖,呵呵

IFEO的确不是万能.

饭后点心 - 2007-4-17 11:32:00

还好现在感染型病毒去系统区的还不多.以后就把工具都扔系统区了......万一被感染就再说了.到时候总会有办法的.
IFEO我还要研究研究的.现在对这东西知道得太少了......

baohe - 2007-4-17 11:38:00

引用:

【孤独更可靠的贴子】

IFEO的确不是万能.

………………

病毒，搞IFEO那套把戏——的确较傻。

孤独更可靠 - 2007-4-17 11:46:00

IFEO在某中程度上还存在那么点点的作用...

以后滥用(过度)的话..病毒可能会com\bat的格式出现.

呵呵

饭后点心 - 2007-4-17 11:49:00

通吃的病毒,猫叔还有样本吗?回家看看去~~难得看到胃口那么好的,正好饿了.下班回家加个菜~~~

春天的小水竹 - 2007-4-17 11:59:00

看来也要学习一下怎么保护自己杀毒软件的方法了,事态炎凉,病毒为什么那么多啊,而且越来越恶劣.

饭后点心 - 2007-4-17 12:08:00

谢谢猫叔,确认已到货.

鸟儿天上飞 - 2007-4-17 20:07:00

我就故意中过这个..不过捏 EXE文件米被感染..还算幸运

看来以后还要先开影子大概看一下动作...

not - 2007-4-17 23:30:00

恩好，谢谢猫叔了。

我是来来 - 2007-4-18 9:28:00

学习

afkp4e7 - 2007-4-18 9:44:00

晕了那天遇到个中的
搞完忘看其他分区
不记得是谁了
愿主保佑她阿门

勇闯猪罗纪 - 2007-4-18 9:56:00

昨天晚上见了几个人的帖子都是中此病毒
也给他们开出了药方希望他们把冰刃不是放在系统盘以外的盘里
还是听猫猫的话家里多挂几把冰刃的保险.嘿嘿

火影忍者 - 2007-4-18 11:01:00

顶啊....学习了..

火影忍者 - 2007-4-18 11:11:00

猫叔....你有没有关于autoruns的日志分析的贴子啊...
不是autoruns使用的贴子....
我想学看autoruns日志....嘎嘎!!

newcenturymoon - 2007-4-18 11:14:00

猫叔我也分析过这个病毒但是没有发现他感染exe的情况并且没有发现他下载那些木马的情况
个人感觉它只是我所说的那些木马群中的一个没有什么特殊的
我的帖子
http://forum.ikaka.com/topic.asp?board=28&artid=8299232

newcenturymoon - 2007-4-18 11:17:00

而且上周也帮网友处理过一些此类问题的发现它一般是伴随cmdbcs等木马出现的
未发现感染exe的情况
是不是病毒又变种了
能把那个样本发给我么？

baohe - 2007-4-18 11:20:00

引用:

【newcenturymoon的贴子】猫叔我也分析过这个病毒但是没有发现他感染exe的情况并且没有发现他下载那些木马的情况
个人感觉它只是我所说的那些木马群中的一个没有什么特殊的
我的帖子
http://forum.ikaka.com/topic.asp?board=28&artid=8299232
………………

利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”，变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。

所以，建议：中招者用SRENG扫份日志保存，以便弄清基本情况，便于后面的手工杀毒操作。

瑞星卡卡安全论坛