系統(tǒng)中毒:一次病毒手殺記錄

在客戶這里做項(xiàng)目，發(fā)現(xiàn)客戶給我的計(jì)算機(jī)上面在打開分區(qū)的時(shí)候，會(huì)另開一個(gè)窗口打開，查看了系統(tǒng)的文件夾選項(xiàng)，并將其還原為默認(rèn)設(shè)置。發(fā)現(xiàn)情況依然，很明顯，這臺(tái)機(jī)器中毒了，磁盤下有autorun.inf這個(gè)東西！
    現(xiàn)在大部分病毒和木馬都通過在磁盤分區(qū)根目錄下生成Autorun.inf。修改磁盤分區(qū)右鍵菜單的“打開”，“自動(dòng)播放”等菜單項(xiàng)的點(diǎn)擊操作，實(shí)現(xiàn)病毒自動(dòng)運(yùn)行。
    一些典型的癥狀：
    1、雙擊磁盤分區(qū)無法打開分區(qū)，提示找不到某某程序
    2、雙擊響應(yīng)速度變慢。
    3、在新窗口打開
    謹(jǐn)慎的通過在地址欄輸入c:\等方式進(jìn)入分區(qū)根目錄。不要雙擊或右鍵哦！嘗試顯示隱藏文件和系統(tǒng)文件，誒，這個(gè)病毒居然沒有修改文件夾的hidden的注冊(cè)表項(xiàng)，可以顯示系統(tǒng)文件和隱藏文件。果然，在每個(gè)分區(qū)根目錄下面有兩個(gè)隱藏的文件：autorun.inf和system.dll，但是沒有.exe的可執(zhí)行文件，有點(diǎn)奇怪。查看autorun.inf的內(nèi)容：
    [autorun]
    shell\open\command=rundll32 system.dll,explore
    shell\explore\command=rundll32 system.dll,explore
    我不太了解這些語法，從字面意義上看，時(shí)調(diào)用rundll32 來調(diào)用這個(gè)syste.dll病毒控件。以前見過的其他autorun.inf的寫法還有自定義右鍵菜單的，反正一句話，如果不是自定義的autorun.inf都是不正常的。
    Autorun.inf本來是用在光驅(qū)上實(shí)現(xiàn)光盤自動(dòng)播放的工具。本身無害，難而很容易被病毒利用以傳播病毒?？梢酝ㄟ^修改系統(tǒng)組策略禁止驅(qū)動(dòng)器不自動(dòng)播放，防范病毒通過自動(dòng)播放達(dá)到自動(dòng)運(yùn)行。
    嘗試刪除這兩個(gè)文件，馬上，3秒鐘，這兩個(gè)文件又生成了，說明有進(jìn)程在監(jiān)控這兩個(gè)文件，刪除了就補(bǔ)回來。嘗試先建一個(gè)同名的文件抑制再生，就是建立一個(gè)同名的文件夾，根據(jù)windows文件建立規(guī)則，同一個(gè)目錄下不能有同名的文件或文件夾。結(jié)果病毒自行先刪除那個(gè)文件，重新建立。囧，看了那些抑制病毒再生的工具也可以退伍咯。
    常見的抑制U盤病毒的工具，就是在U盤下面生成一個(gè)autorun.inf文件夾來實(shí)現(xiàn)抑制的。這也容易被病毒*。要加強(qiáng)這種方式，可以通過修改autorun.inf文件夾的NTFS權(quán)限，禁止所有人刪除！
    打開任務(wù)管理器，發(fā)現(xiàn)有一些莫名進(jìn)程，是一些數(shù)字和.txt，比如說3***.txt，進(jìn)程不是都是.exe的么？不解，不管他了。結(jié)束掉，結(jié)束掉發(fā)現(xiàn)該進(jìn)程并未再次生成。再次嘗試刪除那兩個(gè)文件，依然如此，看來，我得知道是誰在生成那兩個(gè)文件了。下載Filemon，這個(gè)軟件微軟的網(wǎng)站有下，我從skycn下的，別人修改過的filemon居然綁了流氓軟件，什么上網(wǎng)助手啊，幸好是可以選擇不安裝。運(yùn)行后，在過濾器里面添上過濾標(biāo)志autorun.inf。發(fā)現(xiàn)居然是svchost在讀寫這個(gè)文件。右鍵選擇進(jìn)程，查看進(jìn)程位置，c:\windows\system32。找到那個(gè)文件后，查看文件屬性，Microsoft出品...，強(qiáng)行結(jié)束掉一個(gè)svchost，彈出提示要關(guān)機(jī)，趕忙輸入shutdown -a停止自動(dòng)關(guān)機(jī)。我預(yù)計(jì)這個(gè)文件被感染了，或者被利用了。這可如何是好。
    很多病毒的進(jìn)程名要么是不規(guī)則的，要么就是偽裝的，可以通過工具軟件，找到該可疑進(jìn)程對(duì)應(yīng)的文件的屬性，路徑，廠商來判斷是不是正常的文件。
    打開IE，以autorun.inf svchost system.dll搜索下相關(guān)信息，發(fā)現(xiàn)還是有一些的有人中了的，一打開那個(gè)網(wǎng)頁，糟糕，網(wǎng)頁給殺掉了，這病毒作者，學(xué)了很多東西嘛。這里我有一個(gè)想法啊，能不能讓標(biāo)題欄不顯示網(wǎng)頁的title啊。這樣網(wǎng)頁就不會(huì)給殺掉了。
    很多病毒都通過鉤子檢查當(dāng)前窗口的標(biāo)題，如果符合一些特征，則將該窗口關(guān)閉。
    這是流氓會(huì)武術(shù)，誰也擋不住啊。從另外一方面想，我不讓病毒隨機(jī)器啟動(dòng)運(yùn)行也行。msconfig，查看系統(tǒng)服務(wù)和啟動(dòng)。在系統(tǒng)服務(wù)中隱藏掉微軟服務(wù)，將那些服務(wù)禁止掉。啟動(dòng)里面，清理調(diào)未知的。重啟，嘗試刪除那兩個(gè)文件，依然再生，看來，病毒建立了驅(qū)動(dòng)或者服務(wù)了，那需要工具了－－SRENG。軟件我就不介紹了，很好的工具。（只是我給作者反饋信息不理我，抑郁啊。）運(yùn)行后，查看啟動(dòng)項(xiàng)，可以發(fā)現(xiàn)AppInit_DLLs被大量修改，還有就是Image File Execution Options中大量安全軟件被處理，所以大部分的殺軟無法啟動(dòng)了。
    AppInit_DLLs
    AppInit_DLLs 是啟動(dòng)項(xiàng)是初始化動(dòng)態(tài)鏈接庫 ，但是有病毒通過修改AppInit_DLLs來執(zhí)行 ，通過修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]鍵值來插入病毒.
    讓病毒在安全模式下也能運(yùn)行。
    Image File Execution Options，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options，病毒通過修改該處鍵值，實(shí)現(xiàn)誤導(dǎo)某些可執(zhí)行程序的路徑。比如說，在這個(gè)下面添加一個(gè)360safe.exe，然后將其鍵植改為virus.exe，那么我們?cè)谶\(yùn)行360safe時(shí)，實(shí)際上執(zhí)行的是virus.exe！這個(gè)叫映像劫持！通常被病毒利用來阻止殺毒軟件的運(yùn)行。
    通常病毒實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)的辦法除了上面提到的兩種方式,還有:
    1、注冊(cè)表項(xiàng)：RUN
    2、注冊(cè)表項(xiàng)：Userinit
    3、作為服務(wù)啟動(dòng)
    4、作為驅(qū)動(dòng)啟動(dòng)
    這里就可以找到那些文件，一個(gè)一個(gè)的DEL。本來想那么作，后來沒有，我想，這些事情還是交給殺軟去做吧。用SRENG按shift連續(xù)選擇，將他們給del掉。刪了，刷新后還有，難道病毒會(huì)重寫回去呢。無意間，我查看了下SRENG掃描出來的日志，我發(fā)現(xiàn)一些可疑的東西，正在運(yùn)行的進(jìn)程
    [PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1456 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Verified) Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\mdimon.dll] [Microsoft Corporation, 11.3.1897.0]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll] [Microsoft Corporation, 11.3.1897.0]
    [PID: 1676 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE] [Microsoft Corporation, 7.00.9466]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll] [Microsoft Corporation, 7.00.9466]
    [PID: 1732 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 364 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\System32\HBDNF.dll] [N/A, ]
    [PID: 480 / SYSTEM][C:\WINDOWS\TEMP\32656.txt] [N/A, ]
    [C:\WINDOWS\TEMP\textfont.dat] [N/A, ]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\TEMP\WowInitcode.dat] [N/A, ]
    [PID: 1088 / Administrator][C:\WINDOWS\system32\wonlinsk.exe] [N/A, ]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1240 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 252 / Administrator][C:\WINDOWS\system32\conime.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 1216 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREngLdr.EXE] [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 428 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREb2cb0ef4.EXE] [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\Documents and Settings\Administrator\桌面\sreng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 1908 / Administrator][C:\WINDOWS\explorer.exe] [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    這個(gè)日志比以前的日志好看多了，以前的日志每個(gè)進(jìn)程的dll鏈接庫一大排，看得眼暈。
    很多安全工具都有掃描日志功能。通過查看各個(gè)進(jìn)程調(diào)用的DLL動(dòng)態(tài)連接庫，來確定那一些是非正常的dll。比如說廠商，路徑。
    幾乎每一個(gè)進(jìn)程都有一個(gè)DLL文件：HBDNF.dll！估計(jì)這個(gè)文件有鬼。我要?jiǎng)h掉他，但大部分的進(jìn)程都在使用那個(gè)文件，如何是好？對(duì)了，有一個(gè)工具：unlocker！下載，運(yùn)行，接鎖進(jìn)程，依然刪不掉，但是有一個(gè)選擇，重啟后刪除。那就重啟后刪除吧
    如果文件正在被使用，是無法刪除的。方法有一些：
    1、利用工具軟件，很多，unlocker，文件粉碎器等一些刪除文件的工具。
    2、DOS下刪除。
    3、修改文件的NTFS權(quán)限，阻止所有人訪問。
    4、XCOPY替換。等等
    重啟后，再次運(yùn)行SRENG，刪除Image File Execution Options，刪了依然還有，但我發(fā)現(xiàn)新出來的項(xiàng)和剛刪除來的不一樣，估計(jì)是SRENG沒有將所有的都顯示出來？不管了，再刪吧，重復(fù)了5 ，6遍，終于刪完了。接下來的事情，就是下載殺毒軟件來查殺了。（如果不刪除Image File Execution Options，這些殺軟是無法運(yùn)行的。）
    手殺軟件還是很辛苦的，有很多病毒會(huì)下載大量的木馬，那一個(gè)個(gè)刪費(fèi)事費(fèi)力，最終還是要使用殺毒軟件來處理。要讓殺毒軟件跑起來，那就得把那些阻擾殺軟運(yùn)行的障礙清除掉。推薦在安全模式下運(yùn)行殺軟
    完，也許語句組織的不好，因?yàn)椴《窘o殺掉了后才做的，也沒截圖，見諒見諒。為什么用NOD?免費(fèi)半年。。。