样本来自萧心(http://bbs.52happy.net/read.php?tid=225596)。
以下是在PowerShadow的Full Shadow模式下观察这个木马的结果及手工杀毒流程(由于我的SSM设置为“启动加载”,所以还有还手的机会。染毒后才运行SSM,是否还有这样的机会——我不清楚)。
一、运行Dd11.exe后释放/下载的文件:
在C:\windows\system32\下释放/下载FuckJacks.exe和msvce32.exe。
在windows文件夹中释放(下载)1.exe。
在其它分区根目录下释放autorun.inf和Setup.exe并试图改写.exe文件(由于Tiny的文件保护而未得逞)。
二、其它恶意行为:
反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项并结束这些程序的进程;重写病毒自己的加载项。
终止IceSword进程。结束FuckJacks.exe进程前,IceSword不能运行
(IceSword被该木马利用的机制见15楼附图)。试图结束SSM进程,但未得逞(看来病毒作者还没研究透SSM)。
三、注册表改动:
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支添加:
svohost(指向C:\windows\system32\FuckJacks.exe)
在HKCU\Software\Microsoft\Windows\CurrentVersion\Run分支添加:
FuckJacks (指向C:\windows\system32\FuckJacks.exe)
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe"添加:
C:\windows\system32\msvce32.exe
四、我的杀毒流程:
1、用SSM禁止FuckJacks.exe运行。
2、开启IceSword。用IceSword删除C:\windows\system32\FuckJacks.exe。
关闭IceSword。自己动手删除C:\windows\1.exe、C:\windows\system32\msvce32.exe以及其它分区根目录下的autorun.inf、Setup.exe。其它被感染的.exe中的病毒代码能否被杀软“清除”——不得而知。如果不能,只好删除。
3、清理注册表:
展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
删除:svohost(指向C:\windows\system32\FuckJacks.exe)
展开HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
删除:FuckJacks(指向C:\windows\system32\FuckJacks.exe)
展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除"Shell"="Explorer.exe,C:\windows\system32\msvce32.exe"中的C:\windows\system32\msvce32.exe。
4、备份杀软病毒库。重新安装杀毒软件。重装杀软后,导入病毒库备份。可以免去病毒库升级。
【注】:其他网友说的“FuckJacks.exe删除.GHO文件”,我没观察到。Full Shadow模式下再次染毒后,我曾看过我的GHOST备份——完整无损。我的Tiny“文件保护”中设置了GHOST备份文件夹的保护监控,允许删除文件,但Tiny监控提示并记录文件被删除。
