“中国红客”网站遭暗算:hxxp://www9.chinahksm.com/hm/QQ/200609/54.html。
今天上午和下午下载的木马略有不同。
未打全补丁的IE6访问该网页后会中招。OPERA浏览器访问该网页则没任何问题。
下午,中招后的SRENG32.3日志可见以下异常项:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<98u2ekdzjr><C:\windows\iexpl0ra.exe> [N/A]
<98u2ekdzjr><C:\windows\iexpl0ra.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<cmdbcs><C:\windows\cmdbcs.exe> [N/A]
<upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\zt.exe> [N/A]
<opo><C:\DOCUME~1\baohelin\LOCALS~1\Temp\wl.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><KB684745M.LOG> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad]
<DLMon><C:\windows\system32\DLMain.dll> [N/A]
==================================
驱动程序
[squell / squell][Running/Manual Start]
<2 - 系统找不到指定的文件。
><N/A>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\DRIVERS\npf.sys><CACE Technologies>
==================================
正在运行的进程
[PID: 1956][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\DLMon.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[PID: 3748][C:\Program Files\HyperSnap-DX 5\HprSnap5.exe] [Hyperionics Technology LLC, 5, 3, 0, 0]
[C:\windows\KB684745M.LOG] [N/A, N/A]
[PID: 1212][C:\Program Files\WinRAR\WinRAR.exe] [N/A, N/A]
[C:\windows\KB684745M.LOG] [N/A, N/A]
[PID: 288][C:\Documents and Settings\baohelin\桌面\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\KB684745M.LOG] [N/A, N/A]
需要指出的是:
1、C:\windows\KB684745M.LOG动态插入“资源管理器”(Explorer.EXE)和中招后运行的其它应用程序进程。因此,中招用户应尽量避免运行不必要的应用程序。对于那些需要使用但又被病毒模块插入的应用程序进程,可以用IceSword等工具卸除其中的病毒模块(图2)。
2、C:\windows\system32\DLMon.dll监控用户卸除病毒模块操作,一旦病毒模块被卸除,系统立即报错(Explorer.EXE遇到问题需要关闭.....)。此时,不要做任何回应。将报错窗口拖到一边,继续进行病毒模块卸除操作(图2)。
杀毒操作顺序:
1、结束病毒进程(图1)
2、根据SRENG日志提示,用IceSword卸净插入各应用程序进程中的病毒模块(图2)
3、卸净所有被插进程中的各个病毒模块后,删除所有病毒文件(图3)。
4、删除病毒启动项、驱动项(见日志内容)。
5、最后,再回应“Explorer.EXE遇到问题需要关闭...”对话框(点击“不发送”,图4)。
图1
