这里贴不了图片，原文请见：

http://hi.baidu.com/nslog/blog/item/1042e9dd5125acef76c638c8.html
飘雪(piaoxue/feixue)的详细分析以及手工清除办法2006-10-20 11:25
    作者：网络安全日志 ( www.nslog.cn )
    日期：2006/10/20  （ 转载请保留此申明)



一、概述
  近来中了piaoxue.com和feixue.com招的用户很多，一直在想办法收集样本，今天终于下载了一个病毒包，里面有七八个流氓软件，其中有一个就是飘雪（现在流氓软件服务真好，买一送十）。以身试毒，把常有的武器都用上了，基本把它的思路分析清楚了。

二、过程分析
    程序安装的时候，会首先检查有没有安装（HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX），如果安装过了，就直接退出。所以可以根据这一点来免疫。
    接着检查是否安装了虚拟机（通过检查HKLM\Software\VMware,Inc.\VMware Tools值），如果安装了，则直接退出。这点主要是防范系统调试人员，如果在虚拟机上安装，就退出。看来paoxue的作者真是用心良苦啊! 不过我一向都不使用虚拟机，呵呵。
    它没有采用BHO这种流氓也容易被杀的方式，通过随机生成一个驱动，安装驱动到（%system%\system32\drivers目录下。我安装的过程生成的eugnxqcx.sys和wllcnlke.sys。
   
    驱动加载后，通过生成两个线程附加到system这个系统核心进程上，获取最高权限。
    通过Process Explorer可以查看到这两个线程：

             
       
      这两个线程一直不住地检查注册表（HKLM\SYSTEM\CurrentControlSet\Services\）下自己这个驱动的值，如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉，会提示没有权限。另外用冰刃（IceSword）这个工具也可以看到，但是杀不掉。。汗。。。                 
      看来它的驱动保护做的还是不错的，难以杀掉的原因是对文件以及进程都做了保护。我介绍的《顽固文件删除终极武器》，用金山文件粉碎器，打开的时候提示无法打开文件。很少会遇到的一种情况。

      因为驱动是属于Boot Bus Extender组的，在操作系统加载时就会被加载，所以即使安全模式下也会加载，所以到安全模式下删除也是无效的。

      看得出来飘雪为了防范目前的杀流氓软件工具，下了不少的工夫，已经试验过的多种工具无效：
      IceSword删除驱动文件无效，Procexp，IS中止进程无效，金山文件粉碎器删除文件无效（而这几个是我前不久在试不爽的，还大力推荐的。。。faint..）

      不过魔高一尺，道高一丈，知道了原理和过程之后，离解决也不会太远，，下面介绍一下杀它的办法（亲自试验，不需要重启，力求简单，菜鸟也可以操作）

三、清除办法：
 
  1、找出驱动来
    用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护
》，我们今天就来实战一下。运行autoruns之后，在它的“Options(选项）”菜单中有两项“Verifiy Code Signatures（验证代码签名）“Hide Signed Microsoft Entries（隐藏已签名的微软项）“，把这两项都选中了。扫描之后，我们只看驱动（driver）这一项：


    可以看出来，它是假冒微软的驱动。这个驱动虽然写明是微软的，但是没有经过微软的数字签名，所以肯定是假的。（可能你的机器上显示特别多，但所有非微软的，都是有问题的），因为是随机生成的文件名，所以你那里找出来的，可能跟我的不一样。请自己记下文件名。特征是8位随机的字母，并且公司是微软公司，但是显示（Not verified)，如果你这里不能确认，可以用下面的办法。

2、用procexp找出驱动名来
  运行procexp,（下载地址见最后），找到system这个进程，然后点右键——属性（Properties）——线程（Threads），然后把下面的框子拉到最后，看有连续两个，比较无规则的八个字母的驱动，再跟autoruns对一下就可以确定是哪个驱动了。（见第一张图）

3、删除文件
    因为文件有驱动保护，这里虽然找到线程的名字，但是无论是Procexp还是IceSword都无法中止这个线程（如果你有好的办法，麻烦告诉我一下，谢谢）。另外本人写的文章里面的关于删除顽固文件的，对付这种有意防范的，也是无效的。经过亲自试验，目前有两个办法可以删除这个文件：
 
    方法一：用Unlocker（下载地址及使用方法见最后的文章）
    找到c:\windows\system32\drivers目录下，找到刚才的那个驱动文件，点右键——Unlocker，然后在出来的对话框中，也会显示有一个sytem进程占用了，点那个“Unlock“。然后再在文件上Unlocker一下，这时显示已经没有其它进程在使用这个文件，用它的Delete功能，点确定便可。这样文件便删除了。   


      方法二：还是用Procexp

      在Procexp中，先按Ctrl+H,切换到Handler视图，然后按Ctrl+F，查找，输入刚才的驱动名字（可以只输入前几个字母），然后就可以看到在system这个进程中有一个文件，在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件，删除便可。 


    我相信如果paoxue的作者看到这篇文章，可能会做一些升级或者改变，使上面的方法无效（因为它明显已经针对IceSword这几个出名的软件做了防范），但是万变不离其宗，如果那个时候，就先用autoruns/procexp找到相关的驱动文件，然后安装一个虚拟软驱，到DOS下去删除这个文件，那个是最后终极的办法。
     
    我写这篇文章，主要针对一些新手，所以尽量不要重启以及做复杂的操作。

    删除上面的.sys文件之后，为了安全起见，重启一下，然后再重新设一下IE的主页，应该就可以了。至于那个Seriver的值，删不删都无所谓了。

四、其它
  针对飘雪的免疫办法：
  在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一个SearchPlugInX的DWORD值，然后任意输入一个值，这样飘雪就不会再安装了。

  如果上面的方法无效，请与我联系，可能会有升级的版本。但是以上介绍的所有办法，在我的文章都已经提到了。流氓软件横行年代，自己都得学会一点保身之术，呵呵。
 
  另外感谢MJ0011，通过他的文章也受益菲浅。

五、参考及工具下载

piaoxue/feixue驱动程序分析(by MJ0011)
http://bbs.360safe.com/viewthread.php?tid=13994&extra=page%3D1

釜底抽薪:用autoruns揪出流氓软件的驱动保护
http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html

[惊天大发现]顽固文件删除终极武器
http://hi.baidu.com/nslog/blog/item/c4ad8dcb2c7b98fd53664f73.html

清除流氓软件的第一利器(IceSword)
http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html

如何删除顽固文件之流氓软件篇
http://hi.baidu.com/nslog/blog/item/c25b1ddfce78a11362279868.html

Process Explorer官方下载
http://download.sysinternals.com/Files/ProcessExplorerNt.zip

AutoRuns官方下载
http://download.sysinternals.com/Files/Autoruns.zip

复杂啊。还是好的东西。

我顶上去，最新论坛很多人都中招啦！我都束手无策

近日公司一同事中了piaoxue.com，这个垃圾就是不断的修改主页为xfkz.com，然后跳转到piaoxue.com。这是第二次遇到了，第一次的时候因为别人急着要系统，所以重装了。这次是自己部门的同事，由于自己在第4层（关于病毒5层定义参见前些日子lodestar所发的流氓5层定义）rootkit病毒清杀方面处于起步阶段，暂时没有办法处理，于是叫她先“养着”病毒，自己决定一点点的追杀病毒根源。首先拿sreng扫一遍，发现什么都没有，没有发现奇怪的exe和dll。马上想到了这肯定又是一个虚拟硬件驱动rootkit，但是苦于没有扫描工具，后来像各大论坛求助和搜索，得到了gmer这个rootkit扫描工具，于是。。。有了下文。
从www.gmer.net/gmer.zip下载gmer，立马开扫，果然，木马露出了马脚，见下图：



追查文件，什么也没有发现，见下：



隐藏的也太猛了吧，就不信发现不了，拿出icesword查看同样目录，居然icesword也失手了！！见下:



不可思议，第一次见到如此猛的病毒，偶也是杀毒5年来第一次失手，看来对手是一个了解kernel ring0的编写高手，不过gmer更高，在这个垃圾上面点右键，delete，piaoxue飘走了～～～见下：