16:26 2006-10-30
今天上网时电脑被骇客(Crack)植入了木马,上网速度接近停止,硬盘灯狂闪了一通后某些系统设置和一些可执行文被修改了,瑞星监控器和防火墙完全被踢出了内存。甚至在DOS下运行的,用于系统恢复的那个F:\Ghost\ghost.exe也被破坏了,运行时居然会报告由于程序太大,无法载入内存?!
之后采取了以下措施(或者说是以上,用分隔线分割,越往后进行的步骤放在越上面的位置):
1. 使用了超级兔子的木马检测功能模块确定了木马的位置,并删除了两个未知的注册表关联信息。手工移除了被怀疑为木马的两个文件,即C:\windows下的rundl132.exe和C:\Windows\System\system.exe。
2. 热启后再次使用超级兔子检测,又发现了rundl132.exe和一个未知的注册表关联信息,再度删除它们。继续热启后第三次检测,未发现问题。
3. 将别的地方备份的8.2英文版ghost.exe和ghostexp.exe复制到F:\ghost\2006目录下,运行它将7天前备份的镜像文件10231119.gho恢复到C盘。用超级兔子检测,发现可疑文件C:\windows\system32\system.exe,手工删除。
看来我备份的那个镜像文件中可能就含有木马!不过这次的系统被侵入完全是那个rundl132.exe搞的鬼。随即,我使用了ghostexp.exe编辑
10231119.gho,将其中的C:\windows\system32\system.exe删除。
最后,将这次事件中从C盘里手工剪切出来并保存到D盘Danger目录下的rundl132.exe和system.exe各压缩为一个单独的文件,准备上报给瑞星。
4. 在将以前备份的ghost.exe复制到F盘相应目录进行覆盖的过程中偶然发现,该目录中的ghost.exe所占用的字节数增加了,同一目录中的ghostexp.exe也是如此。看来,我的硬盘中所有分区内的可执行文件都有可能都被修改甚至是感染了某种病毒!!!
进一步的研究中发现,凡是被感染的可执行文件所在的目录中,都会增加一个名为_desktop.ini的文件,里面的内容只有一行“2006/10/30”,这算是什么?在占领地上插上的国旗吗?不过这倒是为确定哪个目录曾经被感染过提供了一个依据。
根据这一线索进行搜索,发现所有分区上的所有根目录和子目录都被强制增加了这个文件!!!怪不得硬盘灯会狂闪呢,其中至少被创建了几千个这样的文件!那么,我的电脑中的所有可执行文件八成都被修改或感染了!
不过比较不可思议的有两点:
(1) D:\Soft\ghost目录下有_desktop.ini这个文件,但是其中的ghost.exe仍然可以在DOS下正常使用。莫非是没来得及被修改或感染吗?
(2) C盘是我刚刚用镜像文件10231119.gho恢复的,为什么其中也会有几百个_desktop.ini呢?
另外还发现一个线索,本身不带图标的可执行文件在WindowsXP的窗口中会自动被赋予一个灰色方框,上面有一道蓝色条纹,右上角有3个灰色小点的图标。如果是已经被修改或感染过的可执行文件,它们的图标的右上角都会被改为有8个灰色的小点。
如果是本身自带图标的可执行文件,在被感染后它的图标的分辨率一般会下降,连颜色都有可能会改变,有的是变浅发亮,有的则是变深变暗。
---
5. 在比较镜像文件10231119.gho和C盘Windows下的一些可执行文件的图标的过程中发现C:\Windows下多了一个莫名其妙的Logo1_.exe,更可怕的是已经被手工剪切和删除各一次的rundl132.exe又出现了,闹鬼?
估计是像灰鸽子那样,由一个自我加密(可能同时还是被压缩过)的主程序(这里大概是Logo_1.exe)在每次开机的时候先进驻内存,自我解密(可能同时还自我解压缩)出一个或几个客户端程序(这里大概是rundl132.exe),之后主程序退出内存,让杀毒软件找不到它。
而释放出来的客户端程序用于控制被害者的电脑,即使被杀毒软件找到并删除了,下次启动电脑的时候它或它们又会出现。
在启动XP的自动搜索功能搜索这两个文件的时候又发现一个奇怪,或者说有趣的现象,这两个文件每被搜索到一次它们显现出来的小图标都会变一次,就像“变色龙”那样会不断变化!真是厉害……
6. 在DOS下格式化了C盘一次,使用了不可恢复的/u参数,之后再用10231119.gho恢复了一次,先完全确保C盘无毒再说。
将另一台电脑上备份的瑞星杀毒软件和防火墙的安装包复制到这台染毒的电脑上,重新安装,上网升级,检查病毒后……居然得出没有病毒的结论?!
7. 在瑞星的信息中心发现一条消息,得知最近有一种叫做“威金”的病毒、木马、蠕虫三个一恶意程序闹得比较凶,看它的发作及感染症状很像是我的电脑上正在发生的那种样子。于是下载了它的专杀工具Vikingkiller.scr,点击右键,点击测试后开杀,发现并杀掉308个威金,终于解决了问题。
搜索D、E、F三个分区中的_desktop.ini文件,找到后全部shift+delete彻底删除。
---
15:01 2006-10-31
又被威金感染了一次,之后似乎因为俄罗斯的系统安全监视器和瑞星冲突,总计瑞星被毁掉了两次。目前总结出的完整的对付威金步骤如下:
1. 用威金专杀工具Vikingkiller.scr查杀所有的分区,在此过程中不可运行任何其它的程序,以避免出现前面杀后面发这样令人哭笑不得的事件发生。
2. 用超级兔子检测系统中的可疑注册表信息并删除,将可能是被威金恢复的那些用于混淆视线的,无用的启动程序在注册表中的信息通通删除(同时删除超级兔子为这些信息建立的恢复用备份文件)。
3. 删除C:\2.txt,搜索并删除所有分区的各级目录中的_desktop.ini。
4. 热启计算机后观察C盘根目录,如果C:\2.txt没有被重新创建出来,那么就可以卸载瑞星并重新安装了。
如果C:\2.txt还是会被自动创建,那么没有办法,在DOS下重新快速格式化C盘(format/q/u c:),重装系统吧。否则不管重装多少遍瑞星,它还是不能使用的。
最彻底的办法是在第2步就格式化C盘,之后再用以前做的Ghost镜像文件恢复C盘上的原有文件。注意:再用镜像文件恢复系统前一定要先进行格式化,否则C盘上原有的病毒、木马、蠕虫或者其它多出来的恶意程序及垃圾文件是不会被删除的。
Ghost的镜像恢复功能就像是用拷贝命令复制目录一样,同名的目录虽然会被覆盖,但是被覆盖的目录中独有的文件是不会被删除的。
恢复工作完成后就可以重装瑞星了。
---
15:53 2006-10-31
根据目前的研究,似乎是PYQQ或者CoralQQ在与瑞星监控同时启动的时候会彻底摧毁瑞星(先提示一个注册表被修改,接下来热启后会发现瑞星的病毒监控被强迫禁用,而防火墙则被强迫禁止启动,二者的主程序都无法启动),但不清楚到底是哪一种非官方的QQ在起作用。
莫非是那些非官方的QQ的作者在搞破坏?恢复瑞星的正常使用至少需要两点:
1. 格式化并使用镜像文件恢复C盘。
2. 使用瑞星安装包的修复功能覆盖安装瑞星。
---
13:09 2006-11-1
用排除法进一步测试证明,导致瑞星组件崩溃的罪魁祸首是QQ而不是俄罗斯系统安全监视器,为了得出这个结论又格式化了C盘4次……
重装QQ后,通过对比发现,有问题的QQ的目录中多出来了一个具有隐藏、只读、系统三重属性的可执行文件:2A5515EC.exe。
估计这是某种QQ木马的主程序吧,不过用瑞星18.51.11版检测不出来任何问题。
为了在今后预防各种未知的QQ木马,我开始使用由java语言编写的LumaQQ2005客户端代替腾讯的QQ(或者由腾讯QQ修改出来的其它QQ客户端)。
该软件解压后可直接运行,不修改注册表,不在C盘的系统目录中添加文件。虽然牺牲了很多功能(比如语音视频聊天),不过文字通讯,屏蔽各种广告和系统公告,显示对方IP和地理位置三项基本功能还是可以正常使用的。
***(完)
