刚刚看到阳光(newcenturymoon)提到最近的lfrmewrk.exe,hbcmd.dll的情况,但是由于没能实机测试,处理效果不尽如人意。由于自己之前在同学的电脑中亲自查杀过它的较早版本mshtmlsed.exe,helpIE.dll,故此简要分析一下这个较早版本的查杀过程,希望对现在的这个变种的查杀有所启发。
编写语言:Visual C++
创建文件:
C:\WINDOWS\system32\mshtmlsed.exe
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\HelpIE.dll
C:\WINDOWS\systew32\player.dll
C:\WINDOWS\system32\usb8028.sys
C:\WINDOWS\system32\usb8028x.sys
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk(指向MSRundll.exe)
创建注册表项(SREng日志可见):
启动文件夹:
[ruango]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk --> C:\WINDOWS\system32\MSRundll.exe [N/A]><N>
服务:
[Cryptographic Server / CryptographicServer][Running/Auto Start]
<C:\WINDOWS\system32\mshtmlsed.exe><N/A>
驱动程序:
[usb8028 / usb8028][Running/System Start]
<system32\drivers\usb8028.sys><Microsoft Corporation>
[usb8028x / usb8028x][Running/System Start]
<system32\drivers\usb8028x.sys><Windows System Internal>
浏览器加载项:
[HelpIE Class]
{589A6FED-A214-4FE3-8D1E-CD07BC634D89} <C:\WINDOWS\system32\HelpIE.dll, TODO: <公司名>>
进程:
C:\WINDOWS\system32\mshtmlsed.exe
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\HelpIE.dll插入explorer.exe和IE进程。
处理难点:
由于有两个驱动进行保护:
其他的exe和dll文件,即使结束进程及卸除dll模块后,直接删除后,马上被重新创建
C:\WINDOWS\system32\HelpIE.dll的BHO项目注册表,删除后马上重建
mshtmlsed.exe的服务项,删除后重启之后重建。
usb8028.sys和usb8028x.sys,用IceSword强制删除仍删除不了。处理方法:
安全模式下
用IceSword删除
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk
(如用资源管理器删除,则会马上重建,但是用IceSword的“文件”删除,则不会马上重建)
用IceSword展开“注册表”:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
删除CryptographicServer、usb8028、usb8028x
(注意只能用IceSword而不能用SREng,因为SREng对服务的处理方式是重启后生效的)
这三个项目删除之后,并不马上重建。
其他exe、dll文件,以及BHO项目注册表,即使用IceSword删除,还是会马上重建。
且关机时两个驱动很可能会从内存重新写入注册表驱动项
所以
删除完服务项和驱动项之后,直接按reset键断电重启,或者直接用IceSword的“重启并监视”来重启,而不要用开始菜单的“关闭计算机”。重启后仍进入安全模式
删除BHO项目
删除以上提到的病毒文件(只须从资源管理器中删除)
