2007年4月1日星期日

遭遇sysload3

因为机器比较老旧,我一向都是裸奔,下了什么东西运行以前,顶多用AVPDOS32扫描一下。这的确不是一个好习惯,以下就算是一个教训。

事情是这样的,昨天找了几个PS2相关的软件,就发现系统不太正常。执行一些控制台程序,例如ruby.exe、lftp.exe、grep.exe等,会弹出一个新控制台窗口,隐隐觉得不对。打开任务管理器一看,有若干个notepad.exe和iexplore.exe进程。可我当时一个记事本都没打开,肯定有问题。

查看系统启动加载项,发现了诸如iexpl0re.exe、c0nime.exe、winlog0n.exe之类的东西,显然是中木马了。我首先想到的就是360安全卫士,奇虎从良以后这个产品的口碑还是不错的。下载运行,查出了两个恶意软件cmdbcs和upxdnd。强制停掉进程后修复,并把加载项及其指向的文件全部删掉后重启,这下360报告没有找到恶意程序了,可事情还没完。

我上了一会网后还是觉得不对,因为硬盘莫名其妙响了一阵。打开任务管理器,又是若干个notepad.exe和iexplore.exe,注册表的情况也一样,那些木马又都回来了。因为重启以前我仔细检查过,所有的自动加载项和系统服务应该都没有问题。这说明木马并不是在系统启动时加载的,而且这次重启后我并没有运行任何可疑的程序。看来我遇到的并不仅仅是木马那么简单,很有可能是一个会感染可执行程序的病毒。

正好早就听说有款叫“驱逐舰”的杀毒软件用了俄国大蜘蛛Dr.Web的引擎,资源占用很少。下回来之后才发现用网上流传的序列号可以安装,但无法升级病毒库,还得用专门的第三方升级工具才行。早知如此我就下试用版了,反正可以用一个月。这是题外话,以后再说。

用驱逐舰扫描后发现了很多可疑文件,病毒名称为DLOADER.Trojan,括号说明“智能启发”。资料里说,所谓“智能启发”就是查找未知病毒的功能。可麻烦的是,如果选择清除病毒,驱逐舰会把可疑文件整个删掉。我硬盘上被感染的文件不止一个两个,如果全删等于是完完全全重作系统,那还不得累死。再尝试用最新病毒库的卡巴斯基来查,这回更是一无所获。八成是个新病毒,这些个杀毒软件都还没反应呢,只好死马当成活马医了。

想了想,Loader是加载器的意思,D要么是Double要么是Dll。从控制台程序会弹出一个新窗口执行看,病毒可能是修改了可执行文件,先执行了他自己的代码后再新开一个进程执行原始程序。挑了两个被感染的文件和原始文件对比一下,发现都多出了12808字节。如果只是单纯把两个可执行文件合并成一个,那感染文件里肯定有两个PE头。

确认的办法很简单,每个可执行文件头部都有一句“This program cannot be run in DOS mode”(不同的编译器不一样,这是VC的),搜就是了。果然,在偏移量0×3200找到了第二个PE头。0×3200是十进制的12800,试着把感染文件头部12800字节和最后的8字节去掉,与原始文件对比,相符。我应该是不需要重装系统了,松了一口气……

恢复文件有眉目了,顺带我还发现了些挺有趣的东西。这个病毒会调用IE去下载文件,这样至少能躲过防火墙。下载的目的文件是http://a.2007ip.com/css.css,这实际上是一个ini文件。病毒会根据这个文件的指示下载若干个木马,上面提到upxdnd和cmdbcs就是这么来的。还有一个http://if.iloveck.com/test/hos.gif,这是个纯文本文件,用来覆盖hosts,屏蔽若干网址。UpdateMe指向的是病毒文件,也就是说这个病毒是可以通过网络升级的。

最有趣的是还是tongji那一行,这一行指向http://if.iloveck.com/test/tongji.htm。这是一个html页面,调用了CNZZ.com的统计代码。每一台被病毒感染的机器都会用IE调用这个地址,包括IP、系统版本、浏览器信息等都会被记录下来。病毒作者给“网站”取的名字叫“安装率”,可惜阅读统计报告需要密码,不然我也想看看究竟有多少人中了他的招。

好了,说正经的:

  • 病毒原始文件名为sysload3.exe,长度12800字节,MD5校验99720C731D19512678D9594867024E7E。
  • 病毒程序被执行后,会试图添加启动加载项“System Boot Check”。
  • 可执行文件被感染后增加12808字节,头部12800字节,尾部8字节。病毒体长度不定,被感染文件尾部的8字节即为病毒体长度。
  • 到目前为止,卡巴斯基无法发现该病毒,驱逐舰虽然可以发现被感染文件,但不能清除。
  • 用360安全卫士删掉恶意软件,并将注册表中的木马加载项删除后,可清除掉病毒主体。但如果有被感染文件存在,一旦执行系统将再次被感染。
  • 打开360安全卫士的保护功能,当病毒进行注册表操作时会报警,可防止病毒被添加进系统加载项,这样能进行带毒操作。可我不清楚病毒代码究竟干了多少事,所以这不是个好主意
  • 我不想一个个去试那些杀毒软件了,所以会尝试自己写一个清除程序。如果在看到这篇东西时兄台的杀毒软件仍然对付不了这个病毒,可以留言问问我。

Update

因为我似乎是网上第一个放出该病毒删除工具的人,因此这一篇也成为我写blog以来,访问和留言人数最多的东西。当时还有人跑来留言,为别的某些网站和论坛打广告拉人,想想也蛮有意思的。现在事件已经过去,问题也都解决了,所以这里不再提供我所写的病毒删除工具,同时把文字恢复到其本来的样子。

发帖者 时间:
标签:

没有评论 :

发表评论

订阅: 博文评论 ( Atom )