手工处理典型rootkit一例（sreng，冰刃，wsyscheck，rku等无法运行) bbs.ikaka.com

最硬的石头 - 2009-1-19 15:02:00

这是一个典型的rootkit程序，有很高的隐藏性能，在它的驱动没拆卸前，无法使用常规的辅助软件（卡
卡，清理专家，360，sreng，rku等）定位它的病毒文件和注册表值。希望这篇文章有助于大家对
rootkit的理解&查杀能力。

运行样本中的serial.exe，等待一段时间后。。。

附件: 您所在的用户组无法下载或查看附件

ok，现在我们尝试一般手段处理。
运行sreng，ok能打开界面，但是点击扫描。。。。假死了。
换个修改版的sreng《后台运行的sreng》点击运行，当然也能运行，但是过了很久很久，还是没生成扫
描报告，打开任务管理器，发现它的进程在100%左右徘徊，肯定也假死了。

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

重启后，运行wsyscheck，直接出错。

附件: 您所在的用户组无法下载或查看附件

运行冰刃,冰刃没有任何的反应。

我们尝试用rku，进行rootkit检测，能检测出一个srosa.sys用code hook手段劫持了几个内核函数。但是无法给出这个驱动的地址。

附件: 您所在的用户组无法下载或查看附件
无法删除这个驱动，即使unhook掉了被挂钩的内核函数，也不能显示病毒文件。。

现在尝试另外的一个rootkit检测程序，也是比较BT的

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

终于定位了驱动文件，srosa.sys和srosa2.sys。

用xdelbox删除

附件: 您所在的用户组无法下载或查看附件
图解XDelBox的使用

删除后，重新启动，很快就可以用sreng或wsyscheck定位到以下三个文件。
C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\winems.exe
C:\Documents and Settings\chenlei\Application Data\m\flec006.exe

轻松的删除

还有一堆下载的东西：在C:\WINDOWS\system32\drivers\downld下

附件: 您所在的用户组无法下载或查看附件

删除方法汇总

最后打开注册表搜寻，删除病毒留下的垃圾值。

用sreng修复安全模式。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA; TheWorld)

最硬的石头 - 2009-1-19 15:23:00

对于rootkit类的病毒关键是处理他的自我保护和隐藏，所以对rootkit驱动的破坏最重要了，也是必须先完成的

附件: 您所在的用户组无法下载或查看附件

病毒样本解压密码：其实这个病毒写的不错的，尤其那两个驱动

附件: 样本.rar

附件: XueTr0.15.zip

附件: sys.rar

魅力算法 - 2009-1-19 17:00:00

学习

ASkill - 2009-1-20 3:17:00

:kaka12: 明天装虚拟机玩玩

baohe - 2009-1-20 9:31:00

用点儿手段，可以省事些（病毒文件可直接删除）。

附件: 您所在的用户组无法下载或查看附件

如果是在关闭瑞星监控状态下运行病毒，需要注意瑞星文件被病毒文件替换的问题。
正常的RsTray：

附件: 您所在的用户组无法下载或查看附件

被病毒文件替换的Rstray：

附件: 您所在的用户组无法下载或查看附件

被病毒文件替换的Rstray（密码：123）

附件: RsTray.rar

backway - 2009-1-20 10:18:00

见过这个样本，超级巡警可以查出
其他ring0级别的anti—rootkit都被屏蔽。

最硬的石头 - 2009-1-20 10:29:00

那是因为病毒没屏蔽巡警，是的话，肯定也不能运行

卫星导航 - 2009-1-20 10:31:00

学习！

backway - 2009-1-20 10:43:00

嗯是的
所以有的不常见不常用的工具有时候也要派上用场:default6:

天月来了 - 2009-1-20 10:47:00

这个关键还是需要考虑系统内的怎么删除

因为在v系统内无法利用重启进DOS来删除

天月来了 - 2009-1-20 10:57:00

还有Gmer工具不知道能否运行

baohe - 2009-1-20 11:07:00

引用:

原帖由 天月来了 于 2009-1-20 10:57:00 发表
还有Gmer工具不知道能否运行

有个前提：
如果srosa.sys和srosa2.sys都加载成功，估计多数工具都瞎菜。SSDT被完全恢复了。

天月来了 - 2009-1-20 11:10:00

哈

如果这类东西多整进木马群里

估计大家都得去找些冷门工具用了

baohe - 2009-1-20 11:21:00

引用:

原帖由 天月来了 于 2009-1-20 11:10:00 发表
哈

如果这类东西多整进木马群里

估计大家都得去找些冷门工具用了

话说回来：这两个病毒驱动加载时，大多数工具均报告并提示用户。
最终结果-------完全取决于用户如何回应。
用户若及时阻止这两个驱动加载，此毒也就是个一般的下载器而已。

天月来了 - 2009-1-20 11:28:00

刚才想起来了

这毒折腾过

一旦全面运行

就得到处找工具了

好象还感染不少文件似的

baohe - 2009-1-20 11:42:00

引用:

原帖由 天月来了 于 2009-1-20 11:28:00 发表
刚才想起来了

这毒折腾过

一旦全面运行

就得到处找工具了

好象还感染不少文件似的

此毒完整运行后，按开机加载运行的先后顺序，逐一查找相关程序，找到后-----用病毒文件本身替换之:default6:

有些防火墙程序（如：amon.exe）被替换后，下次启动时-----反复兰屏。遇到这种情形，只有通过整盘备份恢复系统:default14:

最硬的石头 - 2009-1-20 21:20:00

用了什么手段？猫叔:kaka15:

baohe - 2009-1-21 9:53:00

引用:

原帖由 最硬的石头 于 2009-1-20 21:20:00 发表
用了什么手段？猫叔:kaka15:

第三次运行此毒前，以前定义的“软件限制策略”漏删了一个。结果，就出了5楼所示的效果。

附件: 您所在的用户组无法下载或查看附件拦截这个srosa2.sys，是中招用户的最后一个反击机会。

瑞星卡卡安全论坛