瑞星卡卡安全论坛

此文已经在我的blog中转载，在这里稍加补充，进行讨论。希望大家支持

原文如下：

转载请注明作者：UFO不幸外人

7月15日凌晨，从网友手中找到一款比较强的“随机8位数”病毒，交给mopery进行分析。

截获过程见：http://blog.sina.com.cn/u/56b232db010009zq。mopery的分析见：http://blog.sina.com.cn/u/56b232db01000a1p。

自己也进行了基本测试，运用regshot和filemon两款软件进行了文件添加修改和注册表添加修改的监视工作。它修改很多注册表项目，我不了解它们的意思，这里还要谢谢mopery，是他的分析报告，让我知道了这些注册表项目，并学习记住它们。

言归正传，此病毒是我至今预见的一个棘手的病毒，它针对IceSword和Sreng都有了新的方法和对策，给人们敲响了一个警钟。

最初，IceSword只能通过进程名称结束或者修改IFEO，而改一下名称，进程名称也随之变化，这一招就失去作用，所以使很多病毒无可奈何。我也曾经在《黑客防线》杂志上，看见一位作者讨论如何才禁止IceSword，最后结果也极为复杂，我能力太差，没有看明白。那篇文章也只是一个思路，估计实施起来比较麻烦。但是这个病毒做到了，病毒作者换了一种思考方式，既然像IceSword这样的软件，我无法通过进程、标题等常规方法彻底结束，那么就从另一个角度去想，既然我无法结束，那么我让你正常运行，但是却不让用户正常使用。这就产生了mopery在他的原文备注中写得那个方法（见：http://www.vaid.cn/blog/read.php?18），真的很佩服这个病毒的作者，能换个角度去想。

说了这么多，我还是要说，这个方法对于使用IceSword到底有多少影响。在我用虚拟机试验这个病毒的时候，我病毒不知道IceSword有新的版本，也不知道为什么此病毒可以把IceSword最小化，但是通过仔细观察，发现这个最小化有个时间差，可能因为计算机速度或者其他原因，当IceSword窗口被激活时，总要有一定时间（2-5S）才可以被病毒最小化，那我们何不利用这个时间呢？

当时，我并不知道IceSword有最新版本，后来发现最新版本的IceSword也只有英文版本，使用起来没有1.20的中文版本方便，所以就有了一下的应对措施和杀毒过程。

我的应对措施也就出现了：利用IceSword快速执行一步操作后，马上把IceSword修改为不活动程序，这样可以保持IceSword不被病毒最小化。在分析一下，IceSword被病毒最小化是因为病毒正在运行，那么我就利用上面的操作快速结束掉病毒的进程。试验发现，这个方法成功了。

下面我要叙述一下我自己的手工杀毒方法（利用IceSword 1.20 中文版）：
第一步：修改IceSword.exe为其他文件名，比如为1.exe，然后运行IceSword，看到IceSword界面的同时，快速点击桌面上的任意位置，保持IceSword界面不被激活。

说明：此步为了防止病毒的IFEO劫持，改名运行冰刃，并在运行后使其进入不激活状态。

第二步：快速点击，激活IceSword，快速点击进程选项，点击桌面上其他位置，然后再激活IceSword，再快速结束explorer.exe，再点击桌面其他位置。

说明：通过Sreng的扫描日志，此病毒通过dll文件插入exe进程来运行，除了explorer.exe外，还有很多exe被插入此dll文件，但是当explorer.exe被结束后，病毒就无法再使IceSword 1.20 中文版反复最小化了。

第三步：激活IceSword，这时IceSword就可以正常使用，继续进行杀毒工作。打开IceSword左下角的“注册表”，按照mopery中的顺序，修改注册表文件。打开下面的“文件”，利用强制删除删除掉病毒在每一个盘符下生成的auorun.inf和{随机8位}.exe文件。

说明：删除注册表的顺序是：病毒自启动项目——病毒IFEO劫持——修复windows安全中心的修改——修复显示所有文件。具体修复方法这里不介绍了。

第四步：重新启动计算机，此时病毒已经不随计算机启动了。

说明：经过试验发现，此时IceSword无法删除病毒的主文件，这是一个问题，我不知道因为什么原因，总觉得此时IceSword拿到的并不是最高的权限，病毒的主文件删除了还有。

第五步：利用运行，打开cmd输入以下命令删除文件
cd c:\Progra~1\Common~1\Micros~1\MSINFO\
del {随机8位}.dat /f /a
del {随机8位}.dll /f /a
cd c:\windows\help
del {随机8位}.chm /f /a
cd c:\windows\
del {随机8位}.hlp /f /a

说明：这里写的是DOS命令，其中文件名和具体路径要根据具体情况进行修改。

这时，这个病毒已经基本清除干净，可以再利用杀毒软件进行全盘查杀。

通过这个，我学习到了，对于任何病毒，都要灵活处理，总会有办法解决的。

再次感谢mopery这次的帮助。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; InfoPath.2)

在这里对此病毒进行一下思考和讨论。

首先，先看看以下文章，对此病毒有一定了解，如果有需要样本的，请直接用E-mail联系我，我的联系方式：1987noodle0158@sina.com

得到此变态“随机8位”病毒：http://blog.sina.com.cn/u/56b232db010009zq#comment
mopery的分析：http://blog.sina.com.cn/u/56b232db01000a1p#comment
我自己的分析：http://blog.sina.com.cn/u/56b232db01000a2z#comment（上文）

那几天没有放假，事情也就放下了，这几天放假了，对此事进行了一下分析，让大家提高警惕，也给爱好反病毒的人员一个警钟，其中也包括我。

第一，尽快更新手中的Icesword和SREng，并可以熟悉新版的使用方法，比如：Icesword新版1.22是英文版本，尽快熟悉页面，和英文单词，可以参考着1.20版本中文版；SREng增加了很多注册表方面的扫描，最好尽快研究透撤。

冰刃（icesword） V1.22 英文版 下载地址：http://www4.skycn.com/soft/37782.html
System Repair Engineer (sreng) V2.5.16.900 下载地址：http://www4.skycn.com/soft/23312.html

至于使用方法，我现在也在适应阶段，会努力进行关于他们的试验。

第二，该说说这个病毒，这个病毒通过一些特殊的方法，影响了Icesword和SREng等常用工具的使用，但是通过一些方法可以破解，这个需要细心观察。

mopery详细的写了这种方法：http://www.vaid.cn/blog/read.php?18

第三，这个病毒也给我们敲响了警钟，病毒的不可预见性，这类病毒还会继续变种，Icesword和SREng的这次更新，仅仅是改了软件某些特定部位的文字，才躲过此病毒的追杀，否则也会落入这个病毒的魔掌。这个就要提高警惕，预防这类病毒的产生。

第四，这是第一个可以从侧面另辟蹊径，使得Icesword和SREng等软件无法正常运行的病毒，但也绝对不是最后一个，Icesword和SREng等软件并不是无懈可击的，就像mopery和我说的一样，Icesword和SREng不是万能的。要搞好反病毒，还是要从身边的一点一滴做起，从每一个细节做起，从每一点知识学起，不漏过任何的东西，不能完全依赖软件，也不能完全不用软件，通过自己的头脑进行分析。

第五，最近这类U盘病毒非常流行，斑竹baohe、mopery和newcenturymoon经常会出现“随机8位”、“随机7位”、“auto.exe”等和U盘有关系的病毒，而就拿我这里来说，早期的rising.exe（分析日志由newcenturymoon写出），到现在的“随机8位”、“随机8位”、“随机7位”、“auto.exe”、“page*.pif”等等一系列U盘病毒的出现，这说明了什么，这类病毒只用了一个小小的autorun.inf，但是中毒人数却很多很多，尤其是这类病毒还带有更多的保护功能，只是简单的重新安装系统，是无法彻底清除病毒的。

这就是我们应该反思的，为什么U盘病毒出现了这么长时间，却还有传播的余地，为什么还会有这么多的计算机染毒。最让我不明白的就是，我们学校的校园内，这种病毒横行，真的造成了很大的影响。

以上也是我个人的看法，如果不同，请指出，我会虚心学习。

我也处理过一次这样的随即8位，那次去打印社去打东西，他说不好打，中毒了，于是我就问了起来，他就不在乎的说了下，软件工程师也没修好。我很不服气，我就说我也是学计算机的，对病毒也有些了解，可以帮他看看~~
在修的过程中就发现了这个问题了，ICEWORD可以打开，但是会被最小化，时间差估计也就1秒左右，在弄了一会发现一个特点，当恢复正常窗口时按鼠标右键就不会再最小化了，我就抓住这点时间已超快的速度结束病毒，后来在修复杀软时发现修复不了，在仔细看才看到有个随即8位的DLL插入进程了，把他卸除，一切正常了。
刚遇到时，我还真的懵了，还以为搞不定了~~

忘了一点，我处理过程中使用到了另外一个安全软件，这个软件也很关键，名字就不报了 啊
呵呵

有没有样本??

有的，帮他们修好后就顺便带了个样本来
不过忘记是不是那个了
你要吗

引用:

【UFO不幸外人的贴子】此文已经在我的blog中转载，在这里稍加补充，进行讨论。希望大家支持 原文如下： 转载请注明作者：UFO不幸外人 7月15日凌晨，从网友手中找到一款比较强的“随机8位数”病毒，交给mopery进行分析。 截获过程见：http://blog.sina.com.cn/u/56b232db010009zq。mopery的分析见：http://blog.sina.com.cn/u/56b232db01000a1p。 自己也进行了基本测试，运用regshot和filemon两款软件进行了文件添加修改和注册表添加修改的监视工作。它修改很多注册表项目，我不了解它们的意思，这里还要谢谢mopery，是他的分析报告，让我知道了这些注册表项目，并学习记住它们。 言归正传，此病毒是我至今预见的一个棘手的病毒，它针对IceSword和Sreng都有了新的方法和对策，给人们敲响了一个警钟。 最初，IceSword只能通过进程名称结束或者修改IFEO，而改一下名称，进程名称也随之变化，这一招就失去作用，所以使很多病毒无可奈何。我也曾经在《黑客防线》杂志上，看见一位作者讨论如何才禁止IceSword，最后结果也极为复杂，我能力太差，没有看明白。那篇文章也只是一个思路，估计实施起来比较麻烦。但是这个病毒做到了，病毒作者换了一种思考方式，既然像IceSword这样的软件，我无法通过进程、标题等常规方法彻底结束，那么就从另一个角度去想，既然我无法结束，那么我让你正常运行，但是却不让用户正常使用。这就产生了mopery在他的原文备注中写得那个方法（见：http://www.vaid.cn/blog/read.php?18），真的很佩服这个病毒的作者，能换个角度去想。 说了这么多，我还是要说，这个方法对于使用IceSword到底有多少影响。在我用虚拟机试验这个病毒的时候，我病毒不知道IceSword有新的版本，也不知道为什么此病毒可以把IceSword最小化，但是通过仔细观察，发现这个最小化有个时间差，可能因为计算机速度或者其他原因，当IceSword窗口被激活时，总要有一定时间（2-5S）才可以被病毒最小化，那我们何不利用这个时间呢？ 当时，我并不知道IceSword有最新版本，后来发现最新版本的IceSword也只有英文版本，使用起来没有1.20的中文版本方便，所以就有了一下的应对措施和杀毒过程。 我的应对措施也就出现了：利用IceSword快速执行一步操作后，马上把IceSword修改为不活动程序，这样可以保持IceSword不被病毒最小化。在分析一下，IceSword被病毒最小化是因为病毒正在运行，那么我就利用上面的操作快速结束掉病毒的进程。试验发现，这个方法成功了。 下面我要叙述一下我自己的手工杀毒方法（利用IceSword 1.20 中文版）： 第一步：修改IceSword.exe为其他文件名，比如为1.exe，然后运行IceSword，看到IceSword界面的同时，快速点击桌面上的任意位置，保持IceSword界面不被激活。 说明：此步为了防止病毒的IFEO劫持，改名运行冰刃，并在运行后使其进入不激活状态。 第二步：快速点击，激活IceSword，快速点击进程选项，点击桌面上其他位置，然后再激活IceSword，再快速结束explorer.exe，再点击桌面其他位置。 说明：通过Sreng的扫描日志，此病毒通过dll文件插入exe进程来运行，除了explorer.exe外，还有很多exe被插入此dll文件，但是当explorer.exe被结束后，病毒就无法再使IceSword 1.20 中文版反复最小化了。 第三步：激活IceSword，这时IceSword就可以正常使用，继续进行杀毒工作。打开IceSword左下角的“注册表”，按照mopery中的顺序，修改注册表文件。打开下面的“文件”，利用强制删除删除掉病毒在每一个盘符下生成的auorun.inf和{随机8位}.exe文件。 说明：删除注册表的顺序是：病毒自启动项目——病毒IFEO劫持——修复windows安全中心的修改——修复显示所有文件。具体修复方法这里不介绍了。 第四步：重新启动计算机，此时病毒已经不随计算机启动了。 说明：经过试验发现，此时IceSword无法删除病毒的主文件，这是一个问题，我不知道因为什么原因，总觉得此时IceSword拿到的并不是最高的权限，病毒的主文件删除了还有。 第五步：利用运行，打开cmd输入以下命令删除文件 cd c:\Progra~1\Common~1\Micros~1\MSINFO\ del {随机8位}.dat /f /a del {随机8位}.dll /f /a cd c:\windows\help del {随机8位}.chm /f /a cd c:\windows\ del {随机8位}.hlp /f /a 说明：这里写的是DOS命令，其中文件名和具体路径要根据具体情况进行修改。 这时，这个病毒已经基本清除干净，可以再利用杀毒软件进行全盘查杀。 通过这个，我学习到了，对于任何病毒，都要灵活处理，总会有办法解决的。 再次感谢mopery这次的帮助。 [用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; InfoPath.2) ………………

这下我明白为什么我一按鼠标右键就不会被最小化的原因了

【回复“sanjingshou”的帖子】

要 ..发到 thomas2004@tom.com 吧

补充下我杀的这个随即8病毒会禁用注册表

【回复“sanjingshou”的帖子】

呵呵..他禁我什么都不怕..

引用:

【thomas2004的贴子】【回复“sanjingshou”的帖子】 要 ..发到 thomas2004@tom.com 吧 ………………

样本已发

引用:

【sanjingshou的贴子】忘了一点，我处理过程中使用到了另外一个安全软件，这个软件也很关键，名字就不报了 啊 呵呵 ………………

记忆一点，算一点，又帮助阿

引用:

【thomas2004的贴子】有没有样本?? ………………

有，按照那个地址联系我，我会把样本以RAR的形式传给你

引用:

【sanjingshou的贴子】补充下我杀的这个随即8病毒会禁用注册表 ………………

那个不会阿。我都不考虑这些。我的随机8位把安全模式解决了

引用:

【UFO不幸外人的贴子】 那个不会阿。我都不考虑这些。我的随机8位把安全模式解决了 ………………

是的，我杀的那个也有破坏掉安全模式


附件: 711891200772820156.jpg

引用:

【sanjingshou的贴子】 样本已发 ………………

再次发过~~

今天又问个人要了个样本，我用瑞星（19.33.42）杀了下，不报
还没来得急测试，有人要不？

【回复“sanjingshou”的帖子】
堆栈 SS:[0012FF1C]=00900888, (ASCII "http://google.171738.org/update2.exe^^^^^1^1^1^0785A896^")
EDX=00900810, (ASCII "VCMpX?dkGrYkWrYhUNtmIo@sHo\jWsEcGsQlUBApUODjUS]aSauZSatmS_AZHQtlIo\qLO\uIat")

引用:

【sanjingshou的贴子】今天又问个人要了个样本，我用瑞星（19.33.42）杀了下，不报 还没来得急测试，有人要不？ ………………

我要，我想要你的所有样本（很贪心吧，哈哈）

所以说杀毒软件都很死板..

人家改一改特征码就死翘翘了...

就没人能设计个智能的引擎出来..

昏~~很多样本都是很老的了，没什么意义了~~
我把那个新的发你吧，具那个人说，还比较可以~~

引用:

【thomas2004的贴子】所以说杀毒软件都很死板.. 人家改一改特征码就死翘翘了... 就没人能设计个智能的引擎出来.. ………………

智能引擎~~~估计有的等了~~

针对这类型的病毒..

我想要弄个智能引擎并不太难...

要是我编程学好的话,一个星期不用,估计都能写出来了.

命中率应该高达 95%

恩，哈哈。

不错的想法 利用病毒检测Icesword窗口的空隙时间

自己顶上来，居然没有人帮我顶贴子

顶下前辈的心血。

天，你发帖速度好快，8000+ 佩服佩服

自己发个水贴 顶一下

随机8已经不更新了``

事实上它才是重点。