使用XueTr手杀病毒小谈

dl123100

XueTr(简称XT）是最近崛起的一款功能强大的Anti-Rootkit工具。她于去年年末首发于卡饭辅助区，短短几个月，更新了数十个版本，已成为一款不输于IceSword、狙剑的杀毒利器。她以稳定、兼容性强受到了很多坛友的欢迎。可以说，本区的各位坛友一起见证了XT的成长。

在大家的关注下，XueTr的易用性也不断改善。如果使用得当，可以完全摆脱SREng、AutoRuns等辅助工具，单用XueTr就可以搞定流行病毒。


下面以几个最近或曾经流行的病毒（多个样本同时运行）为例，分享一下我使用XueTr处理病毒的思路。

测试环境：VMWare+Windows XP SP2（由于实机运行部分样本蓝屏，或者效果不明显，采用虚拟机测试）。

为了体现XueTr的强大功能，清理过程尽量不使用其它辅助软件（如SREng、AutoRuns、Windows清理助手等），也不事先分析样本动作，只是在最后使用这些工具检查清理效果。

注：本打算逐个运行样本后杀毒，考虑病毒间冲突问题，不再逐个运行。

所选病毒样本：
2楼 Actvev.exe(近挂马集团常挂的网马）样本来自：http://bbs.kafan.cn/viewthread.php?action=&tid=468663
3楼 SafeSys+ku2009系列 样本来自：http://bbs.janmeng.com/thread-860684-1-2.html
4楼 磁碟机系列 样本来自：http://bbs.kafan.cn/thread-384301-1-1.html
5楼 srosa rootkit  样本来自：http://bbs.kafan.cn/thread-408416-1-2.html

第一篇相对比较详细，为了避免重复，后几篇不多贴图。

dl123100

手杀Actvev.exe过程

这个Actvev.exe是最近比较流行的网马。它的查杀过程已经有很多高手研究过了，不过下面单用XueTr清理此病毒。

运行Actvev.exe，不干扰其运行。几分钟后，病毒基本稳定了，不再出现生成物，运行XueTr，查看进程（见下图）。


重启系统，运行XueTr，弹出线程注入提示

选择是，杀掉注入线程。
打开界面后进一步检查查看XueTr线程信息，只有一个线程，XueTr未被注入线程。

右键选择“在下方显示模块窗口”，发现XueTr被插入了一堆dll文件，删除并卸载注入的dll，防止干扰XueTr工作。

注:出现删除失败一般是由于文件不存在，XueTr卸载多个dll时有时会出现退出，这个很正常，再次运行即可.

以上主要是为了保证XueTr正常工作，下面正常进入清理工作。
点击“本工具配置”标签，在“禁止创建文件”、“禁止创建注册表项”、“禁止待机、注销、关机和重启”选项上打钩。

打开“启动项”标签，留意文件厂商为非微软的项目，删除文件名不标准文件和对应的启动项信息（特别注意appinit_dlls)。

打开注册表标签，进入[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]项目,删除 除{AEB6717E-7E19-11d0-97EE-00C04FD91972}外的所有键，清理ShellExecuteHooks全局钩子信息。

{AEB6717E-7E19-11d0-97EE-00C04FD91972}项对应的是shell32.dll，由于具有统一的GUID，不会误删。

再次转到进程标签，重复前面步骤，删除除XueTr外进程的恶意注入文件（工具文件名、厂商名判断）并全局卸载dll。

之后结束除XueTr外的进程，保留系统进程。右键选择“在进程中查看无数字签名的模块”复查，扫描完毕后，排除Qvod、VC库文件、uxtheme.dll、XueTr等正常文件，确实不再有恶意注入模块。


下面进入驱动、服务清理
检查hook和系统回调
恢复pcidump.sys的hook、移除mrtload的system callback。



转到内核模块标签，右键去掉“仅显示已加载模块”的勾，根据文件名、厂商和加载顺序找出未知驱动服务，再验证数字签名。
删除pcidump和mrtload对应的文件和服务，刷新后驱动虽然仍加载，但服务已被清除（npf.sys等驱动服务虽为病毒生成，但系统也可能用到，这里不清理）。

转到服务标签，根据路径和注释查找未知服务，删除sazce恶意服务。

再转到网络标签，检查端口、IE插件、SPI和hosts表是否正常。

至此启动信息基本清除完全，使用XueTr强制重启。

重新进入桌面后进入残留文件(病毒尸体）的清理。
先用SREng检查下清理成果吧，经检查无残留启动信息，见 SREngLOG.rar (4.72 KB, 下载次数: 417)

2009-4-29 20:04 上传

点击文件名下载附件 。
点击文件标签，清理系统还原文件夹和历史文件夹、临时文件夹和预读文件夹。

右键选择“搜索文件”，查找最近生成的PE文件，删除可疑项。

为了尽可能彻底清理残留文件，图中文件类型过滤未勾上，一般清理时建议勾上。

进入根目录查找autorun.inf等文件（这里不存在）。
进入Program Files目录，查找可疑文件夹，如下图，发现网马刷积分下载安装的“一起来音乐助手”，执行uninstall.exe卸载该软件并删除残留文件。

进入windows、system32、dirvers等目录，以同样方法查找，特别注意非常规属性和XueTr高亮的隐藏文件。

至此Actvev.exe病毒清理工作终于完成了。使用360、金山清理专家验证清理效果，除了一些病毒生成冗余Clsid外，基本清理完全。

[ 本帖最后由 dl123100 于 2009-5-1 14:11 编辑 ]

dl123100

使用XueTr检测ku2009系列木马
ku2009木马随safesys.exe死牛病毒流行，采用rootkit技术，狙剑、IceSword等国内流行的ark无法检测到其加载的隐藏模块。
下面几帖就与ku2009木马有关：

http://bbs.kafan.cn/viewthread.php?tid=459626&highlight=
http://bbs.kafan.cn/thread-470814-1-1.html

下面是金山毒霸对其的分析：

该木马的技术特点：
1 为修改IE主页专门定制rootkit驱动-“摸不着”
该恶意广告木马通过安装一个恶意驱动来挟持系统正常功能比如查看文件修改注册表，使得用户对IE主
页的修改不能生效。同时该广告木马会隐藏的本体，不能在我的电脑中使用一般的方法查看到。

2 数字签名验证绕过技术－“查不到”
大家都知道数字签名被广泛用来鉴别病毒及恶意程序，但是此广告木马会欺骗金山清理专家，Autoruns等安全软件的数字签名验证机制，由于大量安全软件使用数字签名来初步判断程序安全，这种方法可以欺骗安全软件。

运行样本后重启，打开XueTr的内核模块检测，发现一个隐藏驱动ntfs.sys。再仔细查看可以发现两个同一路径的ntfs.sys，且大小不同。可能有驱动以ntfs名加载避免被检测到原本路径。

再查看hook和notifyroutine，为避免干扰XueTr工作，恢复ssdt inline hook。


转到内核模块检测，去掉“仅显示已加载的模块”，发现一个可疑项VIASCSI服务，验证签名为不通过。


进一步分析对应驱动，复制出对应驱动文件，用记事本打开驱动文件，可以看到ku2009的字样，（如果使用IDA等工具比较分析就更明白了），基本可以判定此驱动就是ku2009木马的驱动，应该也是隐藏驱动ntfs.sys真正在磁盘上的文件。


接下来使用XueTr删除对应驱动和服务，重启后该系列木马已被清除。


[ 本帖最后由 dl123100 于 2009-4-30 20:34 编辑 ]

dl123100

清理磁碟机病毒过程

磁碟机算是比较老的毒了，不过手工清理还是存在着一点困难。
引用坛友的话：

它的主要进程终止不了，终止后会继续生成，并运行其它程序。
另外它全局挂钩，但模块卸载不了。
查找钩子，没找到，在自启动程序也没找到它的驱动，而找到的几处注册表删除后又会自动生成，直接去删除文件当然也不成。
想用狙剑和wsyscheck查找，wsyscheck提示出错，狙剑被病毒利用所有进程发送消息也不能启动。
另外这只病毒可能禁用了许多服务，甚至包括vm的一些服务。

利用专杀、使用hips辅助、DOS或PE删除文件等方法可以清除磁碟机病毒，这里使用XueTr在没有专杀、不使用hips或特殊方法的情况下，清理磁碟机病毒。

还是运行病毒后重启系统，打开XueTr，杀掉注入线程。

不过这次XueTr并没有成功防住，查看线程信息仍然有线程注入。
下面进行预处理，防止病毒干扰XueTr工作。

预处理过程详细可见Deker大牛的教程：http://bbs.kafan.cn/viewthread.php?tid=425594&highlight=。

由于线程结束后会再生，这里对 对应模块非XueTr.exe的线程点右键使用“暂停线程运行”（即Process Explorer最为人称道的挂起进线程功能）。

之后检查hook，发现dnsq.dll的用户态inline hook，恢复之。

注：不恢复hook在之后的清理过程中可能会使XueTr等工具的进程查看出现问题，如下图

转到进程管理，卸载注入XueTr的dnsq.dll


预处理后正式处理磁碟机
尝试使用“结束并删除进程”，发现文件重建、进程会再生，并注入smss.exe等系统进程调用cacls.exe提升进程为sysem权限以防杀。

使用XueTr限制病毒行为，勾选禁止创建进程、线程、禁止创建文件、禁止创建注册表项、禁止关机、重启。由于XueTr被注入的dll已安全卸载，接下来的操作不会导致XueTr中途出错退出。

为了方便，下面直接结束被注入dnsq.dll的大部分进程，以避免重复挂起线程、恢复hook的繁琐工作。
之后继续使用上面的方法卸载smss.exe和winlogon.exe被注入的dnsq.dll全局钩子。
成功后smss.exe应用层访问状态不再是“拒绝”。

注：出现结束lsass.exe后出现“系统关机”对话框，可以无视，XueTr能拦截系统关机。

转到启动项标签，删除dnsq.dll的启动信息。多次刷新后，dnsq.dll的启动信息都不出现，不过为保险起见，在后面的操作中删除dnsq.dll并抑制生成。
转到文件管理标签，根据创建时间、文件大小和是否为常规属性等信息判断并删除病毒生成的文件。



最后点重启删除信息、内核模块、插件等项目复查，由下图也可以发现磁碟机病毒的一点“小伎俩”。

在XueTr文件管理界面，选择本地磁盘，点右键“查看文件重启删除信息”。

可以看到磁碟机通过重启重命名方式重生并加载，在不检查此项注册表的前提下如果不仔细清理生成物，重启后病毒就会被激活。
由于前面已全面清理了磁碟机的生成物，直接选择“删除所有重启信息”。

至此磁碟机的清理几乎完成，由于前面结束了lsass.exe、svchost.exe、explorer.exe等进程，无法使用系统自带的关机功能，这时可以使用XueTr的“强制重启”功能。

重启进入桌面，发现无法直接拖拽文件进虚拟机，更新VMWareTools。再次重启发现无法进入安全模式，修复后一切复原。

[ 本帖最后由 dl123100 于 2009-5-1 14:14 编辑 ]

dl123100

实战清理srosa rootkit
srosa系列是一个国外的rootkit，曾经肆虐全球，可以屏蔽国内外众多安软，具体可见http://bbs.kafan.cn/thread-408416-1-2.html。
该rootkit主体驱动加载后，会拦截或干扰Icesword、Gmer、狙剑、Wsyscheck等工具的正常工具。

注：该rootkit并没有针对狙剑、Wsyscheck等国内流行的ark进行特殊处理。
但由于这类工具初始化等工作流程（如获取ssdt内存指针）受系统环境影响较大，运行时会可能出现加载驱动失败等问题。有的即使成功运行，中途也可能出错退出或者崩溃。
XueTr可以在这种恶劣环境下加载驱动，且工作不受影响。

之前曲中求版主已针对此rootkit出了一个教程帖：http://bbs.kafan.cn/thread-409200-1-2.html，不过这里继续单独使用XueTr处理该rootkit。

运行样本后，不干扰其创建新文件、感染文件、联网等动作。一段时间后，重启系统，运行XueTr。
检查进程信息，发现两个隐藏进程和1个可疑进程。

查看进程模块、线程等信息，并没有注入情况。

转到“网络”，可以看到flec006.exe建立了大量的连接。

再看下启动项、内核模块、hook和系统回调





正式开始处理
勾选禁止创建文件、禁止创建注册表项
由于多图出现srosa.sys，就先对付它吧。

XueTr进程管理中显示的System系统的核心进程，没有对应的可执行文件（非system.exe），它的pid值总为4。

某些驱动加载后可能注册线程和DPC回调函数来定时执行某些操作，如检查hook是否被恢复、反复回写注册表等。
处理驱动前需要先挂起对应系统线程并移除DPC定时器。
XueTr能检测并挂起系统线程也能，也能检测并移除驱动注册的DPC和进程窗口定时器。

转到进程管理，选择system——>右键选择“查看进程线程”，可以看到一个srosa.sys注册的系统线程。使用右键“暂停线程运行”挂起该线程。

检测DPC定时器，正常。
之后恢复srosa,sys的hook，移除其注册的系统回调。

转到进程管理，结束并删除进程，这里可以看到进程较之前的截图有了变化。

转到启动项，删除可疑项。

这里特别注意VMTools项对应的文件已被感染（无对应厂商名和数字签名），如果不清除，重启后该rootkit就会激活重新运行。

进入文件管理，勾选“删除文件阻止其生成”，并根据之前进程检查中可疑项路径，清理生成物（部分截图）。

由上图可以看到，我的虚拟机硬盘竟然被“黑客”用来存放大量文件。

再次转到内核模块，清除srosa服务。
重启后修复VMTools和导入安全模式注册表，终于正常了。

[ 本帖最后由 dl123100 于 2009-5-1 10:24 编辑 ]

dl123100

至此，使用XueTr手工杀毒这个专题暂告一段落。
XueTr不愧为一款功能强大、稳定、兼容性强的专业Anti-Rootkit工具。手杀中选择的样本有普通的木马群，也有较能检测的rootkit，XueTr都能很好地处理。虽然手杀过程也暴露了XueTr某些易用性方面的不足，但比起多数Ring0级的工具，XueTr可以算是功能与易用性的平衡。

XueTr等ARK的使用可能需要一些略专业的知识，甚至比使用HIPS还需要了解更多，欢迎大家分享使用ARK的经验或者提出相关的疑问。

最后，祝XueTr走得更远！

[ 本帖最后由 dl123100 于 2009-5-1 10:52 编辑 ]

prawnliu

支持

沙发么？？？
[:27:]

tawny2008

哈哈，只编辑好一半

Ice-card

支持+顶+学习中

蝦米仔

支持手杀病毒教學和思路