瑞星卡卡安全论坛

一宿没睡......到网上到处看帖子后,看到那个变态的oso美女病毒,不禁自己也想玩玩,我想,既然不会技术上的分析,我就用笨招咯......
    准备工作:
    1.用txt输出敏感文件夹内的文件,主要是如下:
      c:\windows
      c:\windows\system32
      c:\windows\system32\drivers
    2.备份注册表
    3.开启监控软件(我还是用的proexp,一来它不会被病毒所谓的映像劫持,二来也用习惯了)
    (1,2两项主要是用来中毒后对比文件的,以便方便地找出不相同之处)
    既然已经准备好了,先上网查一下相关的资料吧(即中毒后的症状,这里就不多说了)
运行oso.exe.好了,立即有了反应
    进程中多出了3-5个进程,分别如下所述:
    c:\windows\system32\drivers\conime.exe
    c:\windows\system32\drivers\badudv.exe
    c:\windows\system32\severe.exe
    c:\windows\system32\net.exe
    c:\windows\system32\net1.exe
    c:\windows\system32\sc.exe
    其中,net.exe,net1.exe和sc.exe是系统文件,在进程显示中都是一闪而过.....(此处,我不明白该病毒为何要调用这些文件,希望猫叔等高手大哥们能够指点迷津),通过以往的教训,我明白了前三个进程是互相守护的,昨天经过猫叔的指导,我也终于悟到了一点东西....于是我先将这三个进程挂起......
    下面就是我这次所谓的"牺牲"了
    我首先想到的是再次备份此时的注册表,以便用来与刚才的对比(病毒进程已经挂起),但是只要我在运行中输入"regedit"并运行时,并没有运行注册表,反而好象又将这几个进程激活了(郁闷中.....不知道为什么),而后我又想查看启动项,输入msconfig后,出现的情况跟刚才一样......
    这可怎么办呢?把病毒进程杀掉看看吧,可喜的是,昨天从猫叔那儿学到的东西果然好用,只要将程序挂起了,然后再一个一个杀掉,并不困难.....
    下面出现了我的第二个困惑:
    在我杀掉进程以后,我又观察了进程好一阵,确定不会再有病毒进程启动,我才开始做其他的事情.
    我想,这次打开注册表应该好用了吧
    结果......
    我输入"regedit"后,系统提示找不到文件
    我再到windows目录下找到了"regedit.exe"双击.....系统提示找不到文件......改成"regedit.com",再运行,还是找不到文件.....
    救命啊!!!!!这是为什么?  在系统提示找不到文件之前我已经把病毒文件删了.....并且也再没发现有可疑程序运行......
    顺便再提一句,在网上看到oso病毒分析没有改变时间,但是我的系统时间确实被改成了2004年1月22日.
    我希望我把我的实验过程写出来不会引起大家误会,因为我这个人请教问题喜欢先说出自己的思路,在请别人指出我所做的错误之处,谢谢!!!
    猫叔.天月,火影,还有很多我不知道的高手们,希望你们能指点我一下......
    再次声明一下,我也不想照搬别人的分析成果,因为有些产生的dll文件我也找到了,在此我就不多说了,因为我只是想实验,并不是想去分析(何况我也不会分析......),网上分析的文章太多了,而我实验中出现了很多出乎我意料的情况,故而我想请教大家.....谢谢大家!!!

对了,补充一句,系统提示找不到的两个文件其实都存在,而且即使我从主机上复制过来也不起作用,所以我很困惑......

IFEO重定向劫持而已```

下载个autoruns删除劫持``

然后按你自己的步骤``

即可搞定```

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1e356536e2beb2dca3cc2b2b.html

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/a0c0edcecb5ccb0292457eba.html

这两个去参考下``比较典型```

【回复“孤独更可靠”的帖子】果然......谢谢大哥,可是,我还想问一下,为什么在我挂起病毒进程的时候运行这两个程序,还会触发病毒进程呢?

挂起?

在运行?

有点矛盾``

至少我看不懂``

【回复“礼貌小孩子”的帖子】
如果可能，请将你那个“oso美女”样本发给我看看。
baohelin@yahoo.com.cn

不是,我是说挂起了病毒进程,然后尝试运行regedit和msconfig两个程序时会触发病毒进程(此时没有解除映像劫持)
呵呵.....是我没说清楚....

引用:

【礼貌小孩子的贴子】不是,我是说挂起了病毒进程,然后尝试运行regedit和msconfig两个程序时会触发病毒进程(此时没有解除映像劫持) 呵呵.....是我没说清楚.... ………………

挂住了病毒进程``

然后运行没有解除劫持IFEO的注册表和msconfig,那么等于对病毒另开了个线程``

SO```

注册表对比都用regedit吗？是否用别的工具更好？弱弱的问一声。

吼吼......原来是这样,又学习了,哈哈,再次谢谢大哥了,
猫叔,样本已发,望查收,如果没收到,可以跟我说一下

呵呵,我只是手头没有相应的工具(呵呵,电脑刚刚重装过.....)我的本意是想通过dos对比的,结果表明:.....呵呵,还是我太天真了,dos下对比出来显示的是一大堆的字母数字......看来还是需要工具才行啊!!!

引用:

【两个铁球的贴子】注册表对比都用regedit吗？是否用别的工具更好？弱弱的问一声。 ………………

那么你用一天时候都对不完``

用类似regmon的工具吧``

具体名字忘记了``上次好像被误杀掉了``不然可以分享下``

佩服楼主的勇气。。

引用:

【礼貌小孩子的贴子】吼吼......原来是这样,又学习了,哈哈,再次谢谢大哥了, 猫叔,样本已发,望查收,如果没收到,可以跟我说一下 ………………

附件要用WINRAR打包、加密（密码用：123）发才行啊，老大！
重发一次吧。

附件: 155847200752284250.jpg

我对病毒是唯恐避之不及。怕怕

引用:

【baohe的贴子】 附件要用WINRAR打包、加密（密码用：123）发才行啊，老大！ 重发一次吧。 ………………

呵呵,这次应该可以了,,,,,
哈....我还想请教大家,该病毒调用系统文件net.exe等等是用来干什么的?

引用:

【礼貌小孩子的贴子】 呵呵,这次应该可以了,,,,, 哈....我还想请教大家,该病毒调用系统文件net.exe等等是用来干什么的? ………………

样本收到。
观察后回答你。

哈,先出去有点事.....中午回来看各位的高见咯

引用:

【礼貌小孩子的贴子】哈,先出去有点事.....中午回来看各位的高见咯 ………………

用IceSword。

1、禁止进程创建。
2、结束下列病毒进程：
C:\windows\system32\nxdlld.exe
C:\windows\system32\severe.exe
C:\windows\system32\drivers\conime.exe
3、删除下列病毒文件（图）

附件: 155847200752294412.jpg

4、删除病毒启动项（图）

附件: 155847200752294504.jpg

5、删除IFEO劫持项（图）

附件: 155847200752294621.jpg

6、删除HOSTS 文件中的下列内容后，保存OSTS 文件：

127.0.0.1      mmsk.cn
127.0.0.1      ikaka.com
127.0.0.1      safe.qq.com
127.0.0.1      360safe.com
127.0.0.1      www.mmsk.cn
127.0.0.1      www.ikaka.com
127.0.0.1      tool.ikaka.com
127.0.0.1      www.360safe.com
127.0.0.1      zs.kingsoft.com
127.0.0.1      forum.ikaka.com
127.0.0.1      up.rising.com.cn
127.0.0.1      scan.kingsoft.com
127.0.0.1      kvup.jiangmin.com
127.0.0.1      reg.rising.com.cn
127.0.0.1      update.rising.com.cn
127.0.0.1      update7.jiangmin.com
127.0.0.1      download.rising.com.cn
127.0.0.1      dnl-us1.kaspersky-labs.com
127.0.0.1      dnl-us2.kaspersky-labs.com
127.0.0.1      dnl-us3.kaspersky-labs.com
127.0.0.1      dnl-us4.kaspersky-labs.com
127.0.0.1      dnl-us5.kaspersky-labs.com
127.0.0.1      dnl-us6.kaspersky-labs.com
127.0.0.1      dnl-us7.kaspersky-labs.com
127.0.0.1      dnl-us8.kaspersky-labs.com
127.0.0.1      dnl-us9.kaspersky-labs.com
127.0.0.1      dnl-us10.kaspersky-labs.com
127.0.0.1      dnl-eu1.kaspersky-labs.com
127.0.0.1      dnl-eu2.kaspersky-labs.com
127.0.0.1      dnl-eu3.kaspersky-labs.com
127.0.0.1      dnl-eu4.kaspersky-labs.com
127.0.0.1      dnl-eu5.kaspersky-labs.com
127.0.0.1      dnl-eu6.kaspersky-labs.com
127.0.0.1      dnl-eu7.kaspersky-labs.com
127.0.0.1      dnl-eu8.kaspersky-labs.com
127.0.0.1      dnl-eu9.kaspersky-labs.com
127.0.0.1      dnl-eu10.kaspersky-labs.com

net.exe和net1.exe是被病毒用来废掉多个杀软用的。这两个文件本身是系统文件，不要动它们。

那三个病毒进程相互守护。

刚开始练习玩儿毒时，不要玩儿这么复杂的DD。

另：如果是瑞星用户，中此木马后，系统文件夹中的kakatool.dll已被删除。请重新安装“卡卡助手”。从其它电脑中拷贝一个kakatool.dll到中招电脑的系统文件夹中，也行。

看看猫叔的头像，有什么感觉？

猫叔看着病毒，不屑的表情，嘴里还念叨着：小样，吃掉你，吃掉你~~~~

佩服啊~~

引用:

【baohe的贴子】5、删除IFEO劫持项（图） ………………

IFEO劫持项怎么删啊？
偶是菜鸟~~教教偶

注册表里 IFEO里有很多东西

怎么找出被劫持的项啊？怎么恢复呢？？

不懂，高手教教偶~~

呵呵,还是很有勇气的
不过推荐你装虚拟机试验来学习这些东西
另外,很多工具也要会熟练使用,对系统也要加深了解
PS:一般清除病毒常用工具:IS,SRENG,PROCEXP,AUTORUNS等等

LZ勇气可嘉    啥时候我也学一下

哈......回来了,多谢各位顶帖啦,谢谢猫叔的详细讲解,受教啦,
ps:我是在影子系统下玩儿的,呵呵,还没那么勇敢经常用实机做.....
至于那些软件,有些是不知道哪儿下,有些就是不会用,不怕,以后慢慢学习,哈哈