首先我要声明一下,我这是在虚拟机里运行的,而且没有外网。
所以,如果这个病毒需要从网络上下载一些别的程序,那么我这里没有。
不过,我已经把楼主所上传的所有程序(除了那个log)都按它原来的位置放好了。
在执行病毒文件之前,电脑里已经安装好了“瑞星卡卡上网助手”,“金山系统清理专家”。
杀毒软件没装。
系统设定:显示了隐藏文件,显示了隐藏的系统文件。
在“组策略”里设定了关闭所有驱动器的“自动运行”
(我的系统从来都是这样设置的)
在执行病毒前,我随意记录了几个exe程序文件的大小以及它的修改日期,这样可以知道病毒到底会不会感染exe程序。
如下:
kassetupwithantiarp.exe 6252KB 2008-1-16 17:39
kakasetupv4(1).exe 3620KB 2008-1-16 17:42
好了,开始执行病毒文件。
我执行的是放在根目录下的pagefile.pif
屏幕闪了一下,然后所有原本显示的隐藏的系统文件全部都隐藏了。。。
查看了一下系统进程,有几个cmd.exe一直在跳。估计是准备联网去下载病毒的。可惜我这里没联网。
没办法,,,再执行一下那个alg.exe吧。我记得它不是隐藏文件。好象是在drivers目录下面。
好象没什么反应。估计还是因为没联网的关系。进程里面也没多出来像alg.exe之类的进程。
查看了一下系统,显示隐藏的系统文件的选项没了,散列规则也没了。看来文件虽然少,可是还是产生了一些作用。
习惯性的打开卡卡上网助手,一秒不到,卡卡的进程就被杀了。
金山清理专家打开也一样。被杀了。
进程里频繁出现ping.exe,它好象还准备通过局域网传播。我的虚拟机跟主机是桥接的,也就是说虽然没通外网,可是虚拟机和主机是联机的。。不知道它会不会感染到我的主机上面来。。有点怕。哈哈!
任务管理器里的进程都是不可信的。如果说不能查看进程的话,暂时应该是没什么办法了。
还是先查看一下我之前记录的两个程序的大小和修改时间吧。
kakasetupv4(1).exe 3804KB 2008-1-16 17:42
kassetupwithantiarp.exe 6437KB 2008-1-16 17:39
可以看得出来,两个文件的时间虽然没变,可是大小都增加了。看来它确实是感染了exe程序。
可是光盘里的程序是不可写的,它无法感染。
我光盘里有冰刃等工具,值得一试。
冰刃首先被干掉。windows清理专家也同样打不开。
SRENG一打开,explorer进程都会被关闭。
用hijackthis扫描,一开始扫就遇到一个提示,大致意思是扫描时遇到一个拒绝的权限,即无法扫描那一项(或n项)
看来病毒真的很牛。
原本说拿它没办法了,准备去查看一下hosts,可是就连hosts都打不开,提示“另一程序正在使用此文件,进程无法访问”。
看来如果想直接从系统里清理掉这个病毒是没办法了。
我从来就喜欢在中毒的时候动用光盘里的PE系统。
PE打开,根目录下面删除掉autorun.inf和pagefile.pif,有一个数字.log的文件打开看了是乱码。先留着,待会儿用winhex或别的什么文件打开看看。
在我看来,dnsq.dll应该是个罪魁祸首,因为hijackthis虽然扫描时出了错误,可还是扫描到了它的启动项。删了先。
alg.exe似乎没什么作为。进入系统先看看情况。
进入了系统后我发现显卡设置似乎丢失了。
卡卡之类的程序还是打不开。打开任务管理器我才发现,我落掉com目录下的smss.exe和lsass.exe了。。
进入PE,发现隐藏的pagefile.pif,dnsq.dll又回来了。清理掉pagefile.pif,autorun.inf,dnsq.dll,smss.exe,lsass.exe,同样留下alg.exe(没联网,它怎么着也不会有什么作为吧!)
可是结果好象跟我想的完全不一样。虽然没联网,可是重启后它们同样死灰复燃。
再次进入PE,把之前删的再次删除,然后把alg.exe也删掉再看!恩,对了,把根目录下面的那个.log文件也删掉。我用ultra32查看过了,似乎它是一个程序,而不是一个文本。建议那些上报病毒的把这个文件也加进去。
开机马上打开任务管理器,发现了那个~.exe.数字.exe的程序。它结束了之后马上就出来了smss.exe程序。还是没死。瑞星卡卡之类的程序还是无法打开。
得,搜索一下那个数字程序的位置吧。。。
居然是两个。一个是~.exe.1374921.exe,一个是~.exe.78531.exe。地址是在all users的菜单的启动项目里。
这东西还真的是很麻烦。
第n次进入PE,pagefile.pif,数字.log,dnsq.dll,lsass.exe,mass.exe程序都一股脑回来了。奇怪的是alg.exe没回来。看来真如我上面所说,它根本就是扰乱视线的。我之前启动后这些程序的再度回归,一定是跟那两个~.exe.数字.exe的程序有关,而跟别的东西无关的。
清理掉那两个~.exe程序。
……呃,,不对,现在是3个了。。。。又多出来一个~.exe.81578.exe
大小,都是92KB,记得根目录下面的那个log文件也是这个大小。看来真如我所说,那个log文件其实也是病毒的种子程序!
都清理掉!
世界清净了!!
任务管理器里再没有以我自己的用户名启动的程序了。。。(包括我之前原本应该自动启动的如卡卡的防护中心等等也都没有启动了。晕,不知道怎么着的都没了。大概跟我第一次在PE里删除了病毒后丢失显卡设置是同一个时候的事情。——病毒清理掉了我的启动项目!为的是清理掉杀毒软件的启动项!)
卡卡上网助手可以打开了。查看了一下系统启动项目,居然发现有一个劫持!目标是ntsd.exe。搜索了一下我的电脑,没发现有这个程序。晕,不知道是干什么用的。
在其中一个启动项里,我发现这样一个项目:“c:\windows\system32\dnsq.dllAR.exe”。有这个程序吗??作者的笔误?少了一个逗号???同时这里还有两个值为%1的项和一个值为%1.exe的项。
我想这是因为我的电脑没联网,所以这个%1的值所代表的程序还没进入到我的电脑,所以这个值也还没有变动过来。或者,这也许是我之前运行的那些个安全程序遗留下来的垃圾项目吧。
突然想到在最开始的时候记录的那两个肯定被感染过的程序。(一个是瑞星卡卡的安装程序,一个是金山清理专家的安装程序)
——嘿嘿,想到就干吧!
……………………
…………………………
…………………………………………………………………………
果然,,一运行它们任何一个程序,任务管理器里就会马上出来lsass.exe和mass.exe。然后可以清楚的看到pagefile.pif被创建,然后马上被隐藏起来的过程。然后,刚才还打开着的卡卡助手,清理专家都被灭掉了。
如法炮制,再次进入PE!!
发现,系统盘根目录下面的数字.log,pagefile.pif,lsass.exe,还有allusers启动目录里的~.exe数字.exe的大小都是92KB。
清理完毕,再次使用金山清理专家扫描恶意程序,居然还扫描出一个木马和fucklsass的恶意软件!清理之!
查看启动项目,发现那个%1之类的启动项目又出来了。看来不是安全软件的残留,而是病毒写进去的。
查看了一下系统里的所有文件。被感染的exe程序增加的大小都是184KB。似乎不会感染别的类型的文件。而且不知道是它还没来得及感染还是怎么回事,我所有被感染的程序好象都在系统盘以外的磁盘。(还是建议大家不要随意执行系统盘里的exe程序——因为我并没有系统盘下所有可执行程序的比对样本,所以我也只是这样感觉而已。最好还是把所有的程序卸载并重新安装一遍,这样被感染过的程序就会被干净的程序覆盖掉了。)
好了,十一点了,该睡了。
总结一下:
一,92KB大小的那几个文件是病毒的核心,留下任何一个,所有病毒都会再生
二,所有被感染的exe程序都含有病毒的全部内容,执行任何一个病毒也会再生
三,这个病毒几乎封杀了所有的修复程序,在windows里面想修复几乎是不可能的事情。所以随身备一个PE光盘才是王道!
四,我这还只是没联网的情况下的状态。如果联了网,估计要一次把所有病毒文件清理干净似乎是十分困难的事情。(它肯定还会下载其他的木马或病毒来保护自身)
五,要显示隐藏的系统文件,这个还得去网上搜索一下它所在的注册表位置。那个选项被隐藏了,也只是注册表的某个位置被修改了而已。(不是隐藏文件显示与否的那个地方)
唉,,,明天还要去找那个打开选项的注册表键值的位置。看不到隐藏的系统文件心里真的很不塌实。这就是杀毒后的后遗症啊。。。记得以前有个病毒直接把文件夹选项整个屏蔽掉了,让你根本连显示隐藏文件都没法按出来。(这句话被作者看到了,下个版本不会就这样做吧?)
