瑞星卡卡安全论坛

前几天朋友因电脑故障求助于我。
其系统是XPSP2，40G的硬盘，两个分区，一个NTFS（C盘），一个FAT32（D盘）。故障现象是开机时系统引导失败。系统报错：invalid partition table。
当时，猜到是硬盘分区表坏了，用手头的“三茗硬盘医生”，只为他解决了一半问题（系统能引导了，可以启动到WINDOWS，C盘所有文件完好无损，但D盘丢失）。进入系统后用卡巴斯基杀掉一只鸽子，再无其它病毒。但其卡巴斯基病毒库太陈旧（2005年11月的库），仍不放心。满盘搜索其出问题当天的所有文件，找到一个非常可疑的sexygirl.jpg.exe。收到我的U盘带回去研究研究！
朋友的本本与我的一样（IBM的），加上对我信任，才求我。没想到，我是个“半瓶子醋”！折腾半天，也没完全搞掂。朋友没说什么，我自己非常汗颜！为其丢失D盘问题，我曾在系统板发贴求助。一位朋友建议用Diskman试试。
于是，上网搜索，下载了Diskman。查毒——没有。
立即做了一张DOS启动盘，将Diskman.exe和Diskman.dat拷入其中。
次日，兴冲冲跑到朋友那里，大喊——你有救啦！
立即开机，以此软盘启动系统，运行diskman。经过一番折腾，取出软盘，按ctrl_alt_del，重启到WINDOWS——D盘找到了！其中全部文件完好无损！

问题是解决了。但是导致硬盘分区表损坏的元凶是不是那个sexygirl.jpg.exe？依然是个问题。
于是，将它拷到我的电脑上，用我的卡巴斯基查查看。结果，卡巴斯基报告——Trojan.Win32.KillDisk.x。从名字上看，破坏硬盘分区表的嫌犯可能就是它了。
先备份一下我的DPT，然后，运行这个木马。重启系统。
果然，系统不能引导，报错：invalid partition table！
有了为朋友解决问题的经历，自然可以轻易搞掂它。
来看看它到底干了些什么。点击diskman工具栏上的“工具”，再点击“重建分区表”，重建方式选择“交互式”。diskman开始搜索所有柱面中的DPT。找到隐含扇区的第一个DPT，看内容（图1）就知道是木马写入的。这马够阴险！居然在隐含扇区中写入了一个硬盘分区表（DPT），把硬盘分区搞乱。
再往下找，又找到一个DPT（图2），从内容看，是原来的C分区。接着找，在2063柱面，1磁头，1扇区找到了D盘（图3）。
至此，重演了朋友中招－数据恢复的全过程。将此DPT备份下来。再用事前备份的DPT恢复一下，以比对diskman交互式重建DPT的准确性。结果显示——完全正确！
最后，谈谈为什么选择“交互式”重建分区表。
“自动重建”，速度快，但有其局限性。这种重建方式只搜索“隐含扇区”。结果只搜到两个结果，一个是木马写入的，一个是原来正确的。此时，如果点击“保留”，diskman将不再往下搜索。这样，只能找到C盘。然后，根据正确的接续关系，后移一个柱面，作为D盘的“起始柱面”，D盘的起始磁头与起始扇区均选择“1”。这样重建的DPT也能工作，但是，你进入系统后，点击D盘，系统会告诉你——D盘未格式化！（这时，千万不要格式化D盘。一格，D盘中原来的数据就完蛋了！）。
而“交互式”重建则搜索所有扇区，搜到一个结果，马上报告用户，由用户判断是不是你要找的内容。交互式重建的缺点是——速度很慢。我这40G硬盘，有5000多个柱面，全部搜完，是要花一段时间的。

注1：这只木马不写注册表，也无其它文件释放。木马文件可直接删除。
严重的是——木马一旦运行过一次，下次系统启动时会引导失败，不能进入系统。
注2：发此帖后，曾经有人向我索取木马样本。鉴于此马导致的后果较为严重，恕不以任何方式向任何人提供此马样本。
______________

图1

附件: 1558472006528220521.JPG

图2

附件: 1558472006528220630.JPG

图3

附件: 1558472006528220725.JPG

汗！这么厉害的东东，不知道我的NORTON能搞定它不？

老大就是厉害

...斑竹就是牛逼....佩服``````

我也想看看这个木马，请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢

那人果真够狠的。



这张图时是不是不能选保留。保留就不能启动？版主怎么作的啊

引用:

【文物2的贴子】那人果真够狠的。 这张图时是不是不能选保留。保留就不能启动？版主怎么作的啊 ...........................

不能保留。
用交互式重建。搜到一个结果，就记下来，跳过。直到搜完。
然后，根据记录结果分析，手工重建分区表。

引用:

【破轮子的贴子】我也想看看这个木马，请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢 ...........................

这只木马不再给你了。
比较危险。
搞坏系统，你会骂我的。

引用:

【baohe的贴子】 不能保留。 用交互式重建。搜到一个结果，就记下来，跳过。直到搜完。 然后，根据记录结果分析，手工重建分区表。 ...........................

谢谢版主

引用:

【从头爱你的贴子】...斑竹就是牛逼....佩服`````` ...........................

NB？谈不上。
只能说这只马还算手下留情。如果它接着再来个format，修复起来会困难的多。

好厉害~~~~~~~~~
不过监控软件都报了什么??

引用:

【闪电风暴的贴子】好厉害~~~~~~~~~ 不过BAOHE版主在运行木马后有什么反映,是直接重启了吗?? ...........................

运行后，弹出一个很气人的信息框：猪头三！猪头三！你等死吧！
关闭该信息框后，系统无任何异常。
但是.........，下次启动系统时——你就哭吧！

引用:

【闪电风暴的贴子】好厉害~~~~~~~~~ 不过监控软件都报了什么?? ...........................

1、卡巴斯基报告：见本贴标题。
关闭卡巴斯基，运行木马：
2、SSM报告：explorer.exe试图运行sexygirl.jpg.exe。点击“允许”后，SSM再无其它反应。
3、TPF2005的activity monitor监控到sexygirl.jpg.exe加载了几个系统dll（硬盘响了几声），就自行终止运行了。

引用:

【baohe的贴子】 运行后，弹出一个很气人的信息框：猪头三！猪头三！你等死吧！ 关闭该信息框后，系统无任何异常。 但是.........，下次启动系统时——你就哭吧！ ...........................

猪头三！


用powershadow可否免疫？

引用:

【友好人士的贴子】 猪头三！ 用powershadow可否免疫？ ...........................

没用Powershadow试过。我觉得用powershadow，可能无法观察其后果。

厉害

版主实在是厉害啊

难道这是传说的新型CIH?

这下那些喜欢"裸奔"的朋友有福了~~

引用:

【hellokiddy的贴子】难道这是传说的新型CIH? 这下那些喜欢"裸奔"的朋友有福了~~ ...........................

不是CIH。
比CIH善一些。

【回复“baohe”的帖子】版主真牛!我的电脑经常中毒,有时还杀不掉,吓得我都不敢上网了,昨天给瑞星升级还遭了两个病毒,还好一杀就删除了,没费啥劲儿,我中的是:Trojian system记不清了，总之我很害怕，对上网有点打怵了．还有，制造病毒的人快死光吧！还人们一个网上的安宁环境！

不是 CIH 要是 中了CIH 嘿嘿 BIOS 就........

不是 分区表 修复 能 搞定的.......

目前 表象上看 是 类似逻辑锁的性质......

至于 有人说 powershadow 的问题

根据我收集到的KILL DISK  A
这个样本来看

基本所有的 还原卡 之类的 全部会挂掉

powershadow 也一样

其实 你可以 安装 一个虚拟机  比如VPC
装个系统

再 装 powershow

运行 一下病毒


虚拟机挂掉 真实系统是没关系的

楼主你好,前几天我弟弟发觉他的电脑不正常,让我看看,我估计是中毒了,就查毒,前后用了三种杀毒软件,最后也显示杀了不少,其中有鸽子和其他的木马,但好象还是没杀干净,麻烦帮我看下了!

HijackThis_815汉化版扫描日志 V1.99.1
保存于      20:03:12, 日期 2006-6-1
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
E:\蓝牙\BTNtService.exe
C:\Program Files\KV2006\KVSrvXP.exe
C:\Program Files\KV2006\kvwsc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\KV2006\UIHost.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\系统工具\Hijackthis1991zww\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
R3 - URLSearchHook: (no name) - {5FDCC7F2-6BAB-40D6-B5E7-A303A2E25DC2} - C:\WINDOWS\system32\Snaf.dll (file missing)
O2 - BHO: AntiFish Class - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yangling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O2 - BHO: FiltrateWebObj Class - {42AFACEE-2A77-41EB-9EE2-D9F8AF827F90} - C:\Program Files\KV2006\KVBHO.dll
O2 - BHO: (no name) - {5FDCC7F2-6BAB-40D6-B5E7-A303A2E25DC2} - C:\WINDOWS\system32\Snaf.dll (file missing)
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\Program Files\KV2006\KvShell.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O3 - IE工具栏增项: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\Program Files\KV2006\KvShell.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - D:\POWERW~1\XDictExB.dll
O9 - 浏览器额外的按钮: 金山词霸 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - D:\POWERW~1\IEPlugin.dll
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} (金山毒霸在线产品升级) - http://218.30.82.36/md5/YahooOnlineScanTest/KOSInit.cab
O16 - DPF: {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} (PhotoUploadCtrl Control) - http://imgcache.qq.com/qzone/photo/QzoneMediaTools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EED7676D-83E5-42C5-AFCF-8E65502C2027}: NameServer = 202.96.209.134 202.96.209.6
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O23 - NT 服务: BlueSoleil Hid Service - Unknown owner - E:\蓝牙\BTNtService.exe
O23 - NT 服务: iPod Service (iPodService) - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - NT 服务: KVSrvXP - Jiangmin Co. Ltd - C:\Program Files\KV2006\KVSrvXP.exe
O23 - NT 服务: KVWSC - Jiangmin Co.Ltd - C:\Program Files\KV2006\kvwsc.exe
O23 - NT 服务: ELSA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

呵呵。。。俺在这方面可不是行家，虽然楼主的解说看得一头雾水，但是还是要谢谢楼主精彩的经验之谈呀。。。。。

呵呵，，，学习了，谢谢老斑竹分享经验。

版主实在是厉害啊

看了半天帖子，由于缺乏相关知识，看得偶云里雾里，但是非常佩服版主，今后还得多学习。

我要是遇到了肯定是没办法了