天在测试一些病毒样本的时候 发现了这么一个服务
[ICF / ICF][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe:exe.exe><N/A>
开始一楞 怎么回事呢这是?后来想起来了 这就是以前一直说过的病毒的一种新的隐藏方式 NTFS数据流隐藏自身
病毒主体是exe.exe
于是又把那个样本重新测试了一遍,并试着干掉了它
File: exe.exe
Size: 58880 bytes
MD5: CE41DA3B6813DC7D22B0D71072D61020
SHA1: 26034C23E88BB5D23D181A2EEFD7A694102BF6A0
CRC32: 5CF7762F
运行后不断修改svchost.exe的内存
创建服务ICF
服务相关键值
HKLM\SYSTEM\ControlSet001\Services\ICF\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\ICF\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\ICF\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\ICF\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ICF\ImagePath: "C:\WINDOWS\system32\svchost.exe:exe.exe"
HKLM\SYSTEM\ControlSet001\Services\ICF\DisplayName: "ICF"
HKLM\SYSTEM\ControlSet001\Services\ICF\Group: "TDI"
HKLM\SYSTEM\ControlSet001\Services\ICF\
ObjectName: "LocalSystem"
将C:\WINDOWS\system32\svchost.exe加入到Windows 防火墙的排除的程序中
修改C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\svchost.exe (应该是加入了他的那个exe.exe了吧)
(但windows并未报警说文件被修改,不知为什么)
清除办法想了很久 因为那个服务好删除 但C:\WINDOWS\system32\svchost.exe的那个隐藏的数据流怎么给他删除呀?从其他电脑上拷一个?是个办法,但是比较麻烦呀,还得在 dos 下弄 毕竟svchost.exe是个系统关键进程呀。
最后找到了个叫NTFSDataTest的软件 Made in China的
开始咯
1.删掉他的服务
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
ICF
2.删除隐藏的数据流
打开那个NTFSDataTest的软件
输入要检测的路径
C:\WINDOWS\system32
可以看到 软件检测到一个NTFS数据流 在C:\WINDOWS\system32\svchost.exe下面 双击检测出来的C:\WINDOWS\system32\svchost.exe
可以看到那个隐藏的exe.exe现形咯
右键 删除流
OK 再用sreng检测一遍 被干掉咯 哈哈
