[原创]手工杀毒技术---2006情人节手记

最新推荐文章于 2024-11-22 14:10:53 发布

hkbyest

最新推荐文章于 2024-11-22 14:10:53 发布

阅读量2.2k

点赞数

CC 4.0 BY-SA版权

分类专栏：原创作品文章标签：杀毒软件 internet dos vmware chm hook

本文链接：https://blog.youkuaiyun.com/hkbyest/article/details/598919

原创作品专栏收录该内容

27 篇文章

订阅专栏

本文记录了一次情人节期间遭遇计算机病毒的经历，详细描述了病毒的症状、分析过程及清除步骤。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

虽然今天是情人节，不过对于我来说也不过是一个普通的日子罢了。

下午，无聊中，打开VMware准备学习，用了一下感觉今天特别卡，还是关掉杀毒软件吧。

打开IceSword，（BT的F-Secure Anti-Virus进程N多，还不能直接关闭，要杀掉进程才行）查看进程，一眼就发现了红色的IEXPLORE进程。楞了下才反应过来，中标的感觉真好，呵呵。查看进程模块信息发现在
D:/Documents and Settings/Administrator/Local Settings/Temp/下的xpnq28t.dll 非常可疑，

强行解除IEXPLORE.EXE加载的这个dll，准备手动删除文件。

FT，删除不掉，搜索注册表不见踪迹，不知道还有什么进程在使用它们。

懒得手工找了，装载杀毒软件查查看吧...

Shit！它一定是HOOK了CreateProcess API，这下好玩咯，满版的红色进程。

X的，这么多，我找我找我找找找，找不同进程包含的相同模块去。

突然发现LoveXR.lmz模块信息，位置在D:/Program Files/Common Files/Microsoft Shared/MSInfo/下，LOVE？难道是情人节特产？

嘿嘿，有点意思了。马上打开文件夹选项，勾选查看隐藏系统文件以及查看所有隐藏文件，看看LoveXR.lmz文件的创建时间为2005-10-28 3：56，小样的，看来还修改了时间啊。

不过D:/WINNT下怎么多了个MUI目录呢？原来也注意到了，不过看看创建时间是2005年的就没去留意它了，所有被ICESWORD标记红色的进程都包含有mstcf.dll.mui模块，看来也不是什么好货色。

再看看D:/WINNT/system32/下的IGPGNL.DAT，哼哼，看来这个是正主了。创建时间为2006年2月14日, 12:47:19。

该找的也差不多找完了，下面我们就该开始动手清除了，看来这个病毒还不是一般狡猾呢，想必删除它也不是一帆风顺的。按照标准的步骤来吧，先把涉及到的进程都kill掉，然后搜索相关文件，然后删除。先从我可怜的杀毒软件开始吧...

怎么杀不掉进程呢，不会吧。换系统自带的任务管理器杀进程树，嘿嘿果然没有了。返回ICESWORD，怎么还是没有干掉该死的杀毒软件啊！！这时不详的预感笼罩在头上...我慢慢的把鼠标移到taskmgr.exe进程上，右键点击，左键选模块信息...

果不其然，熟悉的IGPGNL.DAT，xpnq28t.dll，LoveXR.lmz以及msctf.dll.mui又出现在眼前。

继续查看其它没有显示红色的进程，模块信息都加载了这几个文件，我终于反应过来了，原来IceSword也是受害者啊，哈哈。

不知道还有没有别的隐藏份子，搜索系统所在盘，查找创建时间为2006-2-14 12：47的文件，在D:/WINNT/system32/下又出来两个：wsr.sys和taskman32.exe，都删掉。

然后查看WINNT目录下的setupapi.log文件，在最后我们会发现下面的内容：
[quote]
Munged cmdline: "D:/WINNT/hh.exe" Q:/HAV/Star Tokyo Vol.4/Star Tokyo Vol.4.chm
EXE 名称: D:/WINNT/hh.exe
正在将文件 D:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/FGKRDTR3/IsUninst[1].exe 复制到 D:/WINNT/Downloaded Program Files/IsUninst#32.exe。
安装了一个没有签署的或签署得不正确的文件(D:/Documents and Settings/Administrator.LYS/Local Settings/Temporary Internet Files/Content.IE5/FGKRDTR3/IsUninst[1].exe)。错误 0x800b0100: 主题中没有签名。[/quote]

问题的原因找到了，看来并不是我们前先认为的情人节病毒而是CHM文件木马。不过经过查找并没有发现这个程序，可能是执行后自删除了吧。

用上面的几个文件名称来搜索注册表，结果发现
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Tasks
Imagepath = D:/WINNT/system32/taskman32.exe

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/zotyup
Imagepath = D:/WINNT/system32/wsr.sys

在HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services下也有这两项，
都删除掉吧。

经过网络搜索，初步判断这个木马是灰鸽子或者灰鸽子的变种。

建议发现中毒后要立刻断开网络连接，然后按照文章提及的相关文件名称进行查杀，如果有双系统的朋友就方便一点，重启到另外一个系统删掉病毒文件就是；不然只能找张启动盘到DOS下手工查杀了，磁盘格式是NTFS的可以使用NTFS for DOS软件，不少启动盘里都带有。
这里我们不考虑重装系统这种操作，虽然它对于初学者来说的确很方便。但是！如果你想提高自己的技术水平，那还是放弃这种“治本不治标”的心态吧。

16:27 2006-2-14