新版灰鸽子(svchoot.exe)的手工查杀
【样本来源】:“轩辕小聪”提供。
【使用的工具】:SSM 2.0.5.565(现在有更高的版本);IceSword 1.10。
【查杀流程】:
1、在SSM的“规则”面板中添加三条规则(见图1)。
2、将SSM设置为启动加载(见图2)。
3、重启系统。
4、用IceSword找到并删除下列文件:
C:\WINDOWS\svchoot.exe
C:\WINDOWS\svchoot.dll
C:\WINDOWS\svchootKey.dll
C:\WINDOWS\svcpack.log
5、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Windows Instaler(指向:C:\WINDOWS\svchoot.exe)
(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:Windows Instaler(指向:C:\WINDOWS\svchoot.exe)
【评论】:鸽子的作者真是“处心积虑”!想尽一切办法躲避查杀。这个鸽子,目前(2006年4月24日)卡巴的标准病毒库还不报。HijackThis、autoruns等工具也扫不到其服务项,这点是新版鸽子比“灰鸽子2005VIP”NB的地方。
但它还是没逃过IceSword和SSM。
我们等待鸽子的作者再出新花样。【小结】:这类“鸽子”,虽然隐蔽,但还是可以用IceSword或SSM这样的工具找到手工查杀的切入点。
IceSword:可以发现异常的IE进程(没开IE而可以看到iexplore.exe)
SSM:鸽子运行后,SSM报警N次。多是提示IE企图改写内存的内容。
据此,可以通过IceSword查看iexplore.exe模块。进而发现鸽子的dll及其路径。
再用IceSword查找鸽子的.exe文件。
至此,已经锁定手工查杀目标。接下来要做的,就是本帖叙述的“查杀流程”。
以上是查杀这类鸽子及其它隐蔽性较高木马的基本思路。图1
