瑞星卡卡安全论坛

病毒样本来自：http://boolom.com/update.exe

运行update.exe后，一堆病毒（包括“威金”）进入系统。
然而，这堆病毒中最难缠的还不是威金，而是C:\windows\system32\RAVWM624.dll和C:\windows\system32\SvTime.dll。
前者插入lsass.exe进程；后者具有不易察觉的注册表回写功能。

其实，如果中招者善用ICESWORD，搞掂这堆病毒也不是什么难事。本帖要讨论的是——不用ICESWORD的杀毒方法（因为不少人对ICESWORD的杀毒操作不太熟悉）。

中此毒后，SRENG日志可见下列异常启动项、服务项：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <TIMHost><C:\windows\TIMHost.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <load><C:\windows\uninstall\rundl132.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  [N/A]
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
    <RavMonWm><C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWM.EXE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>  [N/A]
    <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys>  [N/A]
服务
[Telephonyl / WindowsDown][Stopped/Auto Start]
  <C:\windows\system32\sservet.exe><N/A>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  <C:\windows\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>

依往常手工杀毒的经验：删除上述启动项、服务项。重启系统后，删除病毒文件即可搞掂。
然而，这次不行！
按上述思路，重启后，多数病毒文件都能顺利删除，但是图1、图2红框中的那几个病毒dll文件不能删除。
用autoruns再次查看启动项，发现：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>  [N/A]
这个启动项依然存在！
再查看explorer.exe以及杀软的进程模块，下列病毒模块依然存在其中：
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll

回头复习SRENG日志的进程部分，发现下列规律：
[PID: 1012][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 612][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] 
    [C:\windows\system32\GetsFiles.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A] 
[PID: 1404][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 1388][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 2024][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
[PID: 2236][C:\Program Files\Rising\Rav\Ravmon.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
[PID: 2660][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52] 
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
[PID: 2620][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690] 
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 3968][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 2188][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  [Computer Associates International, Inc., 6.5.1.59]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
   

由上述进程日志猜想，C:\windows\system32\SvTime.dll的启动项的恢复很可能是下述病毒模块之一在关机前重新写入的：
C:\windows\system32\GetsFiles.dll
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
于是，再次用autoruns删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>  [N/A]
然后，立即按reset按钮（不给病毒重写注册表的机会）。
重启后，一一删除剩余的dll，搞掂！

当然，那些被“威金”感染的应用程序（.exe）还需用杀软清除其中的病毒成分。瑞星最新病毒库可以完成这个任务。

图1

附件: 1558472007628112644.jpg

图2

附件: 1558472007628112737.jpg

收了..
沙发..

慢慢再看..

又有好东东了

还是原来那个?

小弟 现在还没那个完全看懂的能耐 ..

顶了,猫叔,嘻嘻

.多发了一个

好玩，哈哈！
收藏！

引用:

【mopery的贴子】还是原来那个? ………………

应该是的！一开始的那个也是从那个网站下下来的！

以前碰到过，好象只有其中的一个，是手工杀的

不错，猫一出马，一个顶仨。

支持猫叔!!!!

又学到了一招。
呵呵，敌在暗，我在明。猫叔的特殊方法可以作为另类的指路明灯了。

不会啊,看不懂,怎么办啊????

支持！
学习了~~~哈哈

重命名也可以吧
C:\windows\system32\SvTime.dll这个东西重命名

顶..现在的病毒作者太强了.....可猫叔更强!

顶..现在的病毒作者太强了.....可猫叔更强!

别忘记U盘的查杀/
我还发现在drivers目录下多了一些sys文件。也还是要干掉的
查杀的时候最好先拔掉网线

C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
何以进入进程？还是在于被注册成驱动服务。在drivers目录下应该还存在一个.sys之类的文件。这是典型的rootkit技术，我碰到的病毒文件比楼主的多。
楼主的快速按reset太虐待电脑。我觉得应该用IEFO把上述所列的.exe给劫持掉，才是比较好的解决方法

引用:

【小职员online的贴子】C:\windows\system32\zerwx.dll C:\windows\system32\wkufd.dll C:\windows\system32\wkjbj.dll C:\windows\system32\hjtdx.dll C:\windows\system32\whgdm.dll C:\windows\system32\wgfdl.dll 何以进入进程？还是在于被注册成驱动服务。在drivers目录下应该还存在一个.sys之类的文件。这是典型的rootkit技术，我碰到的病毒文件比楼主的多。 楼主的快速按reset太虐待电脑。我觉得应该用IEFO把上述所列的.exe给劫持掉，才是比较好的解决方法 ………………

http://boolom.com/update.exe
这是样本的地址。请你将此毒植入系统，给我拿出个.sys看看。谢谢！
PS：通过IFEO能劫持.dll？愿闻其祥。

引用:

【newcenturymoon的贴子】重命名也可以吧 C:\windows\system32\SvTime.dll这个东西重命名 ………………

我没试改名这招。不知是否能成。

呵呵，IEFO本来就是可以用来调试文件的。看到个病毒用debugger就以为它的内容里只能写个debugger吗？
其实不用劫持dll文件，你列出来的这几个dll都是靠同名.exe调用的，你把它们的。exe劫持掉重启就可以了。不信你可以去试试。

说来也巧，今天刚和这玩意儿玩过，不过我并不是网上找的样本没事情做，我是公司网管，我的同事每天会给我找一大堆麻烦的。
我碰到的和你不是完全一样，我的那个是time.dll不是svtime.dll

引用:

【小职员online的贴子】呵呵，IEFO本来就是可以用来调试文件的。看到个病毒用debugger就以为它的内容里只能写个debugger吗？ 其实不用劫持dll文件，你列出来的这几个dll都是靠同名.exe调用的，你把它们的。exe劫持掉重启就可以了。不信你可以去试试。 说来也巧，今天刚和这玩意儿玩过，不过我并不是网上找的样本没事情做，我是公司网管，我的同事每天会给我找一大堆麻烦的。 我碰到的和你不是完全一样，我的那个是time.dll不是svtime.dll ………………

不知你是否仔细看这个帖子了？
我这个帖说的是：最后只剩下那几个dll删不掉（病毒的.exe在此之前已经全部、彻底删除）。
有dll必有同名称的.exe？谁说的？

呵呵，我有点糊涂了。你发帖的意思难道是让大家都去你所说的那个网址下那个病毒然后中一下，照你的方法杀一遍罗？

猫叔的东西…收下学习了~

引用:

【小职员online的贴子】呵呵，我有点糊涂了。你发帖的意思难道是让大家都去你所说的那个网址下那个病毒然后中一下，照你的方法杀一遍罗？ ………………

没这个意思。你也不必糊涂。
既然你说有.sys、有与.dll同名的.exe，但不能拿出来看，怎么证明？凭推断？

MS，在安全模式下应该可以直接搞定吧。。！！

呵呵，我回你贴不是为了跟你争啥。
你自己贴子发的图就有与。dll文件同名的。exe。我还可以告诉你现在已经有在查看隐藏文件正常的情况下依旧能够把自己隐藏掉的，而且还不是NTFS数据流的.sys
如果对驱动服务不重视，那你在分析这些东西的时候只能解决表面现象。特别是现在很多恶意软件有利用到了Drv 注册这类rootkits技术，任何一个有心人可以在网上搞到类似代码。