【原创】广告后门流氓软件八百搜(adout.exe)清除实录
mimi用了我的电脑后,就冒出来一堆广告后门,罪魁祸首是珊瑚虫版QQ,
这个曾经的绿色外挂已经彻底堕落了。
至于这个最难缠的八百搜是不是珊瑚虫直接导入的,已经无法得知,在一连
串的感染中,每个阶段都有可能引入。
回到正题。症状很老套,浏览器里不间断的会弹出不明网站,而且基本都是
“正经”的小网站,可以确定,这是广告后门所为。察看进程,有一个adout.exe,
在系统盘搜索adout.exe,位置在windows/system32/drivers/mcq/下,有一个
网站http://www.mcq.com.cn,两者有没有联系,不得而知。把adout.exe进程
结束,删除/mcq/目录,上网中没有广告再弹出。
重新启动电脑后,上网,又有不明页面弹出……
察看windows/system32/drivers/,/mcq/目录阴魂不散……运行regedit,到注册表
里搜adout及同目录下另一个可执行文件mcq159的名字,没有结果。细心察看run
键值,发现一个指向windows/mcupdate.exe的很奇怪,粗看还以为是微软的什么
升级程序,文件属性里没有公司名,只有版本号。删除该键值,删除mcupdate.exe,
结束adout.exe进程,再删除/mcq/目录。重起,上网,没有网页再弹出。
这个后门软件的可恶之处在于,弹出网站都是正经小网站,让人放松警惕,恢复程序
和主程序分离(没有试过主程序会不会恢复mcupdate,要是能互相恢复,那就太可恨了!),
只有联网才生效,断网后就查不到踪迹(这也是为什么我昨天一直没有查出结果)。
基本上,和病毒没有什么区别。
到目前为止,微软MRT、卡巴斯基不认为其为恶意程序,其他杀毒软件估计也差不多,
用hijackthis分析进程也很难得到结果——标为BHO的漏洞里并没有这个东西……
国人的聪明才智怎么都用到这上面去了呢?
