昨天,在系统中“养”了两个IFEO劫持类蠕虫,一个“随机7”、“随机8”。
今天,心血来潮,想象让这两个蠕虫比试一下功力————看看哪个更牛些。
关闭所有安全软件。
依次点击蠕虫程序:先运行“随机7”,再运行“随机8”。
然后,改名运行SRENG,SRENG的进程立即被病毒结束;再运行,SRENG进程再次被病毒结束;第三次运行SRENG——OK!
用SRENG扫到的异常项如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<vbcyhid><C:\Program Files\Common Files\System\terebmi.exe> [N/A]
<xywrebh><C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A00A872A-872A-00AC-2A00-72A0A72A00AC}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll> [N/A]
==================================
正在运行的进程
[PID: 1228][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 656][C:\windows\system32\atiptaxx.exe] [ATI Technologies, Inc., 6.13.10.2531]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 1112][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 1348][C:\Program Files\Internet Download Manager\IDMan.exe] [Internet Download Manager Corp., Tonec Inc. , 5, 0, 0, 0]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 3616][C:\Program Files\WinRAR\WinRAR.exe] [N/A, N/A]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 2712][C:\Program Files\Common Files\System\terebmi.exe] [N/A, N/A]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 2732][C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe] [N/A, N/A]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 3256][C:\Autoruns\autorun.exe] [Sysinternals - www.sysinternals.com, 8.43]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
[PID: 3400][C:\Documents and Settings\baohelin\桌面\S.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A]
==================================
Autorun.inf
[D:\]
[AutoRun]
open=872A00AC.exe
shell\open=打开(&O)
shell\open\Command=872A00AC.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=872A00AC.exe
从进程插入和Autorun.inf的内容来看,“随机8”更牛些。想想刚才的运行顺序(先运行“随机7”,再运行“随机8”)难道是后来者居上?
于是,再次点击“随机7”病毒程序,再扫SRENG日志。看看Autorun.inf的内容:
Autorun.inf
[D:\]
[AutoRun]
open=872A00AC.exe
shell\open=打开(&O)
shell\open\Command=872A00AC.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=872A00AC.exe
还是“随机8”更牛!
接下来是如何收拾残局的问题了。
记得昨天在SSM的规则中已经禁止“随机7”与“随机8”的所有病毒程序。
现在的问题是:因SSM被病毒劫持而不能发挥作用。咋办?
想想.................
有主意了!!
1、改名运行新版IceSwod(不受IFEO劫持类病毒的影响),禁止进程创建;结束系统核心进程以外的所有进程;删除“随机8”的启动项:
<{A00A872A-872A-00AC-2A00-72A0A72A00AC}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll>
2、删除涉及瑞星、Tiny、SSM的IFEO劫持项。保留“随机7”的启动项。
3、添加两个IFEO劫持项,将“随机7”的两个病毒程序劫持到SSM(syssafe.exe;图1)。
4、重启系统。
5、重启后,报SSM加载两次(图2)。证明我的IFEO劫持生效了。
到此,无论“随机7”还是“随机8”,病毒就只有死路一条了(图3)。
最后,删除“随机7”的加载项,用工具重建IFEO,导入原先备份的注册表项。搞掂。
图1
