论坛: 病毒专区 标题: 流氓主页王中王:www.piaoxue.com 复制本贴地址    
作者: 流浪猫猫 [rovecat]    版主   登录
今天俺终于碰上传说中的高手了,一个客户中了www.piaoxue.com木马,占着主页那叫一个亲热,任俺用3721,黄山,流氓清理,卡巴6.0。。。等等江湖上风行的所有招术全败在这丫的手下,I第一次服了流氓,没办法,只好很要面子的给客户装了个傲游,还好这个流氓只喜欢IE,傲游暂在这家伙的视野之外,回家想仔细研究一下这个流氓界第一高手(夸大了),因为不敢在俺的机器上跟它玩,就在虚拟机上,没想到没事,到百度上一查,俺kao了又kao,这丫的竟然通过检查HKLM\Software\VMware,Inc.\VMware Tools值来判断是不是虚拟机上来调试,真是强中自有强中手呀,这都考虑到了,这再不叫高手哪还有高手呀(强烈推荐piaoxue的作者进微软,保证一个月就能写出中国的操作系统)
没办法只好到网上找了一些资料,全是一些手动清除的方法,下面找到一个比较全面的大家参考一下:

网页被修改为 www.piaoxue.comwww.feixue.com 的解决方法2006年10月23日 星期一 10:37飘雪(piaoxue/feixue)的详细分析以及手工清除办法(转载)
    作者:网络安全日志 ( www.nslog.cn )

一、概述
  近来中了piaoxue.com和feixue.com招的用户很多,一直在想办法收集样本,今天终于下载了一个病毒包,里面有七八个流氓软件,其中有一个就是飘雪(现在流氓软件服务真好,买一送十)。以身试毒,把常有的武器都用上了,基本把它的思路分析清楚了。

二、过程分析
    程序安装的时候,会首先检查有没有安装(HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX),如果安装过了,就直接退出。所以可以根据这一点来免疫。
    接着检查是否安装了虚拟机(通过检查HKLM\Software\VMware,Inc.\VMware Tools值),如果安装了,则直接退出。这点主要是防范系统调试人员,如果在虚拟机上安装,就退出。看来paoxue的作者真是用心良苦啊! 不过我一向都不使用虚拟机,呵呵。
    它没有采用BHO这种流氓也容易被杀的方式,通过随机生成一个驱动,安装驱动到(%system%\system32\drivers目录下。我安装的过程生成的eugnxqcx.sys和wllcnlke.sys。
   
    驱动加载后,通过生成两个线程附加到system这个系统核心进程上,获取最高权限。
    通过Process Explorer可以查看到这两个线程:

             
       
      这两个线程一直不住地检查注册表(HKLM\SYSTEM\CurrentControlSet\Services\)下自己这个驱动的值,如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉,会提示没有权限。另外用冰刃(IceSword)这个工具也可以看到,但是杀不掉。。汗。。。                 
      看来它的驱动保护做的还是不错的,难以杀掉的原因是对文件以及进程都做了保护。我介绍的《顽固文件删除终极武器》,用金山文件粉碎器,打开的时候提示无法打开文件。很少会遇到的一种情况。

      因为驱动是属于Boot Bus Extender组的,在操作系统加载时就会被加载,所以即使安全模式下也会加载,所以到安全模式下删除也是无效的。

      看得出来飘雪为了防范目前的杀流氓软件工具,下了不少的工夫,已经试验过的多种工具无效:
      IceSword删除驱动文件无效,Procexp,IS中止进程无效,金山文件粉碎器删除文件无效(而这几个是我前不久在试不爽的,还大力推荐的。。。faint..)

      不过魔高一尺,道高一丈,知道了原理和过程之后,离解决也不会太远,,下面介绍一下杀它的办法(亲自试验,不需要重启,力求简单,菜鸟也可以操作)

三、清除办法:
 
  1、找出驱动来
    用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护
》,我们今天就来实战一下。运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。扫描之后,我们只看驱动(driver)这一项:


    可以看出来,它是假冒微软的驱动。这个驱动虽然写明是微软的,但是没有经过微软的数字签名,所以肯定是假的。(可能你的机器上显示特别多,但所有非微软的,都是有问题的),因为是随机生成的文件名,所以你那里找出来的,可能跟我的不一样。请自己记下文件名。特征是8位随机的字母,并且公司是微软公司,但是显示(Not verified),如果你这里不能确认,可以用下面的办法。

2、用procexp找出驱动名来
  运行procexp,(下载地址见最后),找到system这个进程,然后点右键——属性(Properties)——线程(Threads),然后把下面的框子拉到最后,看有连续两个,比较无规则的八个字母的驱动,再跟autoruns对一下就可以确定是哪个驱动了。(见第一张图)

3、删除文件
    因为文件有驱动保护,这里虽然找到线程的名字,但是无论是Procexp还是IceSword都无法中止这个线程(如果你有好的办法,麻烦告诉我一下,谢谢)。另外本人写的文章里面的关于删除顽固文件的,对付这种有意防范的,也是无效的。经过亲自试验,目前有两个办法可以删除这个文件:
 
    方法一:用Unlocker(下载地址及使用方法见最后的文章)
    找到c:\windows\system32\drivers目录下,找到刚才的那个驱动文件,点右键——Unlocker,然后在出来的对话框中,也会显示有一个sytem进程占用了,点那个“Unlock“。然后再在文件上Unlocker一下,这时显示已经没有其它进程在使用这个文件,用它的Delete功能,点确定便可。这样文件便删除了。   


      方法二:还是用Procexp

      在Procexp中,先按Ctrl+H,切换到Handler视图,然后按Ctrl+F,查找,输入刚才的驱动名字(可以只输入前几个字母),然后就可以看到在system这个进程中有一个文件,在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件,删除便可。 


    我相信如果paoxue的作者看到这篇文章,可能会做一些升级或者改变,使上面的方法无效(因为它明显已经针对IceSword这几个出名的软件做了防范),但是万变不离其宗,如果那个时候,就先用autoruns/procexp找到相关的驱动文件,然后安装一个虚拟软驱,到DOS下去删除这个文件,那个是最后终极的办法。
     
    我写这篇文章,主要针对一些新手,所以尽量不要重启以及做复杂的操作。

    删除上面的.sys文件之后,为了安全起见,重启一下,然后再重新设一下IE的主页,应该就可以了。至于那个Seriver的值,删不删都无所谓了。

四、其它
  针对飘雪的免疫办法:
  在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一个SearchPlugInX的DWORD值,然后任意输入一个值,这样飘雪就不会再安装了。

  如果上面的方法无效,请与我联系,可能会有升级的版本。但是以上介绍的所有办法,在我的文章都已经提到了。流氓软件横行年代,自己都得学会一点保身之术,呵呵。
 
  另外感谢MJ0011,通过他的文章也受益菲浅。

五、参考及工具下载

piaoxue/feixue驱动程序分析(by MJ0011) http://bbs.360safe.com/viewthread.php?tid=13994&extra=page%3D1

釜底抽薪:用autoruns揪出流氓软件的驱动保护 http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html

[惊天大发现]顽固文件删除终极武器 http://hi.baidu.com/nslog/blog/item/c4ad8dcb2c7b98fd53664f73.html

清除流氓软件的第一利器(IceSword) http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html

如何删除顽固文件之流氓软件篇 http://hi.baidu.com/nslog/blog/item/c25b1ddfce78a11362279868.html

Process Explorer官方下载 http://download.sysinternals.com/Files/ProcessExplorerNt.zip

AutoRuns官方下载 http://download.sysinternals.com/Files/Autoruns.zip




地主 发表时间: 06-10-25 18:02

回复: 大灰熊 [teczm]   版主   登录
高手阿 只有高手才玩windows haha...

我这打开了没什么反应 :(



B1层 发表时间: 06-10-25 18:16

回复: 阿Q [kailangq]   版主   登录
老T稀客啊,一来就在那炫耀了,明显找抽来的

B2层 发表时间: 06-10-25 18:29

回复: 流浪猫猫 [rovecat]   版主   登录
俺先抽一下:
俺要玩NFS9,请问二楼坐在沙发上的朋友有办法吗?
不好意思,俺不知道有for-linux版本(还是freebsd 还是unix---俺不是高手,不知道阁下用的是什么系统,只知道跟XP不一样:)



B3层 发表时间: 06-10-26 00:26

回复: 大灰熊 [teczm]   版主   登录
http://cnsnap.cn.freebsd.org/doc/zh_CN.GB2312/books/handbook/network-nfs.html

B4层 发表时间: 06-10-26 13:18

回复: 流浪猫猫 [rovecat]   版主   登录
大哥,俺是说游戏啦,晕死了

B5层 发表时间: 06-10-27 18:47

回复: 阿Q [kailangq]   版主   登录
飞车9目前还没出,就算出也是试玩版,没背景音乐,还是来飞车7吧,我现在无聊时就耍飞车7

B6层 发表时间: 06-10-27 23:28

回复: 流浪猫猫 [rovecat]   版主   登录
我已经晕的不行了,竟然有人说极品飞车9 没出来?????
大哥活在03年???

B7层 发表时间: 06-10-28 19:22

回复: 流浪猫猫 [rovecat]   版主   登录
http://nfsmw.ea.com.tw/  这是繁体版官方主页


2005.11.11
《極速快感:全民公敵》首賣會

玩家期待已久的《極速快感:全民公敵》中英文合版電腦遊戲,終於即將在11月18日晚上七點首賣了。


B8层 发表时间: 06-10-28 19:28

回复: 阿Q [kailangq]   版主   登录
The page cannot be found
The page you are looking for might have been removed, had its name changed, or is temporarily unavailable.
--------------------------------------------------------------------------------

Please try the following:

Make sure that the Web site address displayed in the address bar of your browser is spelled and formatted correctly.
If you reached this page by clicking a link, contact the Web site administrator to alert them that the link is incorrectly formatted.
Click the Back button to try another link.
HTTP Error 404 - File or directory not found.
Internet Information Services (IIS)

--------------------------------------------------------------------------------

Technical Information (for support personnel)

Go to Microsoft Product Support Services and perform a title search for the words HTTP and 404.
Open IIS Help, which is accessible in IIS Manager (inetmgr), and search for topics titled Web Site Setup, Common Administrative Tasks, and About Custom Error Messages.


我指网络上没有正式版的下载,就算有也是试玩版,别晕了,我来扶你

B9层 发表时间: 06-10-28 19:59

回复: 流浪猫猫 [rovecat]   版主   登录
http://bt.acnow.net/SearchBT/BCC/8C6D4B7E6B3D20056.shtml



大哥,俺服了you,到BT上看一下就知道了。俺一向自认为是犟的人了,没想到犟不过你,甘拜下风了

B10层 发表时间: 06-10-29 17:33

回复: 阿Q [kailangq]   版主   登录
直接给个明确的地址,别下了没背景音乐那真是浪费表情了

B11层 发表时间: 06-10-29 20:39

回复: 流浪猫猫 [rovecat]   版主   登录
http://bt.acnow.net/ShowBT/49817.htm

就这个好了,保证可以下,俺刚把mp3下完,下完后要用demotool虚拟光驱安装,安装完成后再把第一张CD放进虚拟光驱就可以在里面爽了。。。。。俺已经通关过三次了,现在这次已经打到第三名了,现在用的是这辆车


B12层 发表时间: 06-10-29 22:41

回复: 大灰熊 [teczm]   版主   登录
居然在说游戏
这不是欺负我不玩游戏的人么

B13层 发表时间: 06-10-30 14:23

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号