下面这张莫名其妙的让你选择“select file to crack”的文件选择对话框熟悉吗?这是你第一次中毒的现象。
前两天系统中招,感染了hldrrr.exe wintems.exe木马,360能查出系统异常,但是无力清除,网上查了一下,据称very hard to clean. 经过一番查阅,最后还是清除了,免于重装系统之苦。这里把过程列一下,以备有同样需要的同学和自己将来查阅。
系统异常症状:
- 查看task manager的process list,有名为hldrrr.exe wintems.exe或者 xxxxxx.exe (xxxxxx为随机数字)的进程,且无法终止。
- 查看windows\system32\下,drivers子目录被隐藏,且打开目录选项“显示隐藏文件”后依然无法看到。
- 在explorer地址栏直接输入windows\system32\drivers 可以进入该目录,内有dwnld子目录,内有数个到十数个不等的xxxxxx.exe (具体数量视感染时间长短而有多有少)。
- 在windows\system32\drivers 目录下有hldrrr.exe medlk.exe srosa.sys 等文件,在windows\system32\下有wintems.exe 文件。
- 系统中的防病毒软件自动终止,表现为右下角的system tray里的图标消失。防病毒软件无法自动更新,无法重启防病毒软件
- 系统重启无法进入安全模式 (safemode),选择安全模式后出现蓝屏 (bluescreen)。
- 系统重启后,防病毒软件无法启动,IE无法启动。
系统上述异常原因:
首先恭喜你,中了称之为bagle rootkit的变种,是特洛伊木马的一种,此木马本身并不具有攻击性,但他为后续木马的进入提供了环境,首先他先杀死系统内的防病毒进程,并破环注册表的safemode内容,使系统及无法查杀病毒,也无法进入安全模式,接着它在系统内注册了一个隐藏服务srosa.sys, 并在system32和system32\drivers下安装两个互为看护的进程wintems和hldrrr,终止其中任意一个,由另一个看护启动。最后,在搭建了这么个完美的环境后,开始下载其他木马,并放置在system32\drivers\dwnld下,随机启动任意的木马,这些木马可能是僵尸木马,也可能是键盘记录,或者更为险恶的木马。
【在中木马的状态下,可以玩一个小实验,在桌面上建一个空的txt文件,然后重命名为ccApp.exe,你可以看见不一会儿,这个文件自动消失了:D 】
对应上述异常,该木马对系统做了下列修改
- 在注册表注册了HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\项,安装隐藏服务,这是在系统控制面板->服务里看不见的服务
- 在注册表注册了HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 的相应启动项,使系统重启后直接执行木马程序
- 扫描系统被感染那一刻的系统进程,随机选择数个进程,删除后,把自己改名成该进程可执行文件:比如ccApp是诺顿的杀毒进程,木马将ccApp.exe杀掉,然后把自己伪装成ccApp,被感染的进程名字列在注册表 HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications 项下,大概有5,6个,去相应程序目录查看,都是木马程序的图标(即形同hldrrr那样的图标)。
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 被破坏,使系统无法进入安全模式
- 所有注册表内 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 项下防病毒,防火墙的启动服务被修改为不启动(启动代码从02 改为04)
- system32,system32\drivers下被植入木马程序 srosa.sys hldrrr.exe wintems.exe medlk.exe
自动查杀一揽子解决方案,至少我没找到好的,下面讲一下手工清除的方法。
- 去http://www.gmer.net/ 网站下载gmer.zip, 是一个rootkit的查杀工具,切记下载后的zip文件不要打开,否则可能被感染,保留zip状态,至少木马没办法钻入zip去感染里面的查杀工具。
- 拔掉网线,使木马在试图连接互联网的时候驻留超时。
- 重启计算机,正常模式进入(安全模式会蓝屏),输入用户名密码登录后马上按ctl+alt+del查看任务管理器,如有hldrrr.exe, wintems.exe, xxxxxx.exe flect0x.exe (x为任意数字)马上手工终止该进程(右击进程名字,选择终止),如果进程已无法被终止(因为srosa后台服务已经驻留),则进行下面这步。
- 解压gmer.zip 执行gmer.exe (最好在zip或者rar程序里直接执行),第一次执行时提示有文件未找到,点OK过去。扫描后,gmer窗口中会有红字提示hidden service如 srosa的字样,右击该项,选择disable (注意,虽然也有delete的选项,但是delete会不成功),禁用该隐藏服务后,重复上述第三步,直到任务管理器内的hldrrr.exe wintems.exe xxxxxx.exe flect0x.exe 等进程全部被终止
- 除了regedit 外不要启动任何程序,尤其是浏览器,因为浏览器的加载项可能已被感染(重装浏览器无用,这是为什么木马不去感染浏览器本身,而是感染加载项的原因,因为重装浏览器后,调用的还是被感染的加载项)
用regedit查看下列注册表项:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\ (除CurrentControlSet外还需查看ControlSet01,ControlSet02) 把srosa键删除。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下所有启动项全部删除
- 查看 HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications 项下的所有执行文件名,这些都是被感染的程序,有防病毒软件,IE加载项等等,找到原始目录,全部删除,并以后重装。
- 找到 system32,system32\drivers下 srosa.sys hldrrr.exe wintems.exe medlk.exe 删除
- 进入控制面版->internet选项中,禁用全部IE加载项。使之无加载项启动IE, 访问panda online scanner (http://www.pandasecurity.com/activescan/index/,可能需要注册),如果使用的是IE7, 可以右击IE图标已无加载项启动IE后访问online scanner,如果在第三步中,IE或者FF没有在感染名单里,可以在无加载项的方式下直接用第5步,online scanner会帮你清除1-4步的内容,否则只有重装IE,FF。 【注意:一定要确保在无加载项的情况下启动浏览器】
- 更为详尽的注册表更改项和文件更改项可以查阅 B.I.S.S forum的分析贴 (http://www.bluetack.co.uk/forums/lofiversion/index.php/t18336.html),便于对照手工删除。
另:rootkit意指清除自身驻留或者进入的痕迹,但是保留root超级权限的方法,现已被恶意软件作为入驻技巧广泛采用,除了gmer外,微软sysinternal也有rootkit查杀工具。可以自己网上查找。
我们是居住在上海的一对小夫妻,浪子喜欢折腾他那点计算机技术,小小喜欢工笔花鸟,画画漫画。还有两条雪纳瑞狗狗,分别叫聪聪和悠悠。欢迎光临小站,我们随便说说,您随便逛逛,希望有您喜欢的话题。
第一次来,还是老朋友? 建议您
bout
沙发!!
不过360也能查出中毒那就于点惊喜了
浪子。。。救命,我的论坛现在无法回复帖子了,在你的论坛也遇到了这样的情况,显示错误如下:
我的:Fatal error: Cannot redeclare sf_mail_filter_from() (previously declared in /home/silent/public_html/silent/blog/wp-content/plugins/simple-forum/forum/sf-filters.php:18) in /home/silent/public_html/silent/blog/wp-content/plugins/simple-forum/sf-filters.php on line 24
你的:Fatal error: Cannot redeclare sf_mail_filter_from() in /usr/local/www/data-dist/sbtalk/wp-content/plugins/simple-forum/sf-filters.php on line 14
@rey:SPF313目录结构有很大的改变,很多文件都单独放在一个叫forum的子目录里了。所以本次升级时,不在是覆盖升级,而是把老目录删掉,全新上传后升级。
其实这一点在作者的安装手册里提到了,只是没仔细看。现在应该好了。
我是直接卸载后删除,再重新上传来解决这个问题的,暴汗。。。不过现在终于好了~
问一下。。。我怎么通过header文件来修改横幅的链接?比如你的留言簿链接到论坛地址- -
各个模板的Page链接的实现方式是不一样的,我的Page链接是这样的:
<ul id=”nav”>
<li class=”page_item”><a href=”<?php echo get_settings(’home’); ? rel=”nofollow”>/” title=”Blog”>博客</a></li>
< ?php wp_list_pages(’sort_column=menu_order&depth=1&title_li=’);?>
<li class=”page_item”><a href=”http://www.sbtalk.com.cn/forum/guestbook” rel=”nofollow”>留言</a></li>
<li class=”page_item”>< ?php wp_loginout(); ?></li>
</ul>
安全模式变得不再安全,这点还是值得人思考的。
所幸不用重新装系统
现在它又出了新的变种,我恰好就中了!上面的方法已不再适用!只能修复安装后再清理病毒文件了!
@henry:任何被动防御只能是事后补救,所以我现在安装了DiamondCS process guard这样的进程监控拦截软件。
OK,我去看看是什么软件!THX!