感谢网友not提供样本。

这是个利用ANI漏洞传播的木马群，其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。

另：中招后，系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。

中招后的“症状”：进程列表中可见shualai.exe进程。

建议：用SRENG扫份日志保存，以便弄清基本情况，便于后面的手工杀毒操作。


手工查杀流程如下（用IceSword操作）：

1、禁止进程创建。

2、根据SRENG日志，先结束病毒进程shualai.exe以及所有被病毒模块插入的进程（病毒插入了哪些进程，取决于你当时运行的程序。以下是我运行该样本后的例子。）

[PID: 484][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
   
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]

[PID: 2252][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
   
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll]  [N/A, N/A]

[PID: 3880][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]
   
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll]  [N/A, N/A]

[PID: 2760][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690]
   
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll]  [N/A, N/A]

[PID: 2548][C:\windows\shualai.exe]  [N/A, N/A]

3、删除病毒文件（图1）；清空IE临时文件夹。

4、删除病毒启动项（图2）。

5、取消IceSword的“禁止进程创建”。

6、修复hosts文件。

注：系统分区以外的那些被病毒感染的.exe——估计是没救了。

图1

图2

引用:

【天月来了的贴子】猫猫啊！！！ 你第4、删除病毒启动项（图2）。 是用冰刃删除的吗？？？？？？？？ ………………

图2是autoruns显示的病毒启动项。
贴此图，目的是方便中招者找到这些启动项，并不是一定要他们用autoruns去删除这些启动项。
系统分区的病毒文件都删除后，用哪个工具去删除这些注册表项————并不重要。
我的习惯是————用IceSword一口气搞掂。

考虑一种特殊情况：
如果有人将autoruns等工具放在了系统分区以外，此时运行autoruns————麻烦大了！！

引用:

【姑苏残月的贴子】 什么麻烦?怎么讲 ………………

中此毒后，系统分区以外的.exe全被感染。

引用:

【饭后点心的贴子】猫叔,把AUTORUNS改成.COM的话应该不会被感染了吧.我是说在中毒前就改成.COM的后缀. 还有一点,有病毒能在IFEO里面动手脚把AUTORUNS弄掉吗?IS可以被弄掉,但AUTORUNS还没见过. ………………

1、改文件名后缀，未必能抗住所有感染型病毒。遇到那种不挑食的病毒（http://forum.ikaka.com/topic.asp?board=28&artid=8298790）————改过后缀的程序也一样死。
2、IFEO这种把戏没什么了不起。只要程序文件没被病毒感染，改名，即可运行。

引用:

【孤独更可靠的贴子】 IFEO的确不是万能. ………………

病毒，搞IFEO那套把戏——的确较傻。

引用:

【newcenturymoon的贴子】猫叔 我也分析过这个病毒 但是 没有发现他感染exe的情况 并且没有发现他 下载那些木马的情况 个人感觉它只是我所说的那些木马群中的一个 没有什么特殊的 我的帖子 http://forum.ikaka.com/topic.asp?board=28&artid=8299232 ………………

利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”，变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。

所以，建议：中招者用SRENG扫份日志保存，以便弄清基本情况，便于后面的手工杀毒操作。

引用:

【newcenturymoon的贴子】 引用: 【baohe的贴子】 利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”，变换无穷。 看过N多因为见到shualai.exe进程而求助的日志————内容各异。 所以，建议：中招者用SRENG扫份日志保存，以便弄清基本情况，便于后面的手工杀毒操作。 ……………… 所以 至于那个shualai 感染文件的说法是不是欠妥呢  个人认为是 利用ani漏洞的蠕虫感染文件  而不是那个shualai 哦  如果可能烦请猫叔把那个样本发给我 谢谢 我会抓紧在测试一遍 看其是不是感染文件 ………………

帖子标题之所以提到shualai.exe，是因为这是中招后最明显的一个症状。
至于这类群居病毒，样本本身也没多少说明具体问题的价值。原因：不同时间运行同一样本，进入系统中的病毒文件都可以不同。
这个样本，我没保留（没什么收藏价值）。如果想要，请找not。

引用:

【另壶冲的贴子】To baohe: 如果下次把autorun.exe IFEO劫持了呢？ :) 希望提供更多的方法。。 ………………

IFEO劫持这种小把戏没什么。
你随便改个名字（如：改成auto.exe，改成123.exe也行），就能运行了。