梦幻木马WS变种是怎么打败我的

yuqian4872

转自：林子’BLOG http://www.hnqw.net
  前几天，因碰到梦幻木马WS变种，因我无法查杀（惭愧），而重装系统！而病毒样本又没有提取到，没办法再次实验查杀！回想一下那天的查杀过程，才发现遗漏了一个地方，从而杀毒失败，下面请听我慢慢道来！
  先说下，那天是我刚来公司，检查电脑的时候什么工具都没带！加上网络环境是局域网，有金山瑞星24小时保护完全，当时想到，可能不会碰到什么棘手的病毒，手工检查下就完事了......   照我的检查习惯，我先看下进程，没发现什么异常，再看服务，也没有不明服务（查看服务的时候点启动类型转换成自动排列，看一些自动服务跟已启动的服务），在用MSCONFIG查看非系统服务，也没发现什么！既然服务没启动，进程也没什么，我就不开连接了！如果要看连接，用NETSTAT -AN就可以了！但是我用360安全卫士检查就发现病毒（瑞星，金山没发现）！因这个病毒没有劫持杀毒网，我就去下了个咔吧，安装好后，升级，升级完成重启的时候，咔吧提示数据库被破坏，重新安装也不可行，看来这个病毒还捆绑了别的病毒！常见杀软不行，360又检测到了，我接着查找病毒源！这里可能有朋友郁闷了！我们怎么不删除自启动项再杀呢？这也是很多朋友的普遍杀毒方法，但是，有没有这样想过，主程序还在，你删除了启动项，下次它还是会自动生成，所以，我还是先找病毒源再说！查找病毒的快速方法，本人都是用两种方法查找（或许大家有更好的方法），我先用命令 DIR /AH （意思是显示具有隐藏属性的文件）查看C盘 接着是windows目录 system32目录 drivers目录 cache目录 这四个目录是病毒普遍藏身的目录，用这个命令查看，如发现有不明的文件，如.EXE为后缀的额文件，可以告诉你，你中毒了！为什么呢！大家用个原版的系统测试下这几个目录，用这个命令查看是没有.EXE文件的！而我用这个命令发现在了此病毒程序在windows目录（不排除它会在别的目录也有，也要全看完哦）！这里想跳过的，考虑到很多新手朋友，第二种方法也说下吧！其实很简单的，在那四大目录中，点右键按修改时间排列，就发现最近几天的文件，如发现不名的应用程序文件修改时间是在1星期内，就要慢慢研究下他了！最好的比对方法是在虚拟机中装个同样的系统，搜索下这个文件，看看有什么不同或者有没有这个文件
  OK，既然找到了病毒源，二话不说，删除掉（啥？提示正在使用中）绝对是隐藏了进程跟服务（这时候有冰刃多好）既然用进程管理器发现不了进程，我接着CMD操作，敲入tasklist 查看下所有进程！发现LYLoadar.exe进程重来没见过，名字也很怪，我接着敲入tasklist /svc 查看进程对应服务，发现是暂缺状态，既然没服务说明，我们还是不敢断定的话，我们就把进程名仍到百度查下，都可以查到的，如果查不到更危险......我发现这个奇怪的进程没有对应服务后，我就二话不说，用taskkill /im LYLoadar.exe 强制结束先！接着，切换到病毒目录，利用 ATTRIB -S -H 命令去掉文件隐藏属性，用DEL删除！删除病毒源后，如果注册表被劫持，可以切换到DLLCACHE目录调用系统备份的注册表文件进行改名打开，找到启动项目删除掉（用MSCONFIG删除也可以！）我再用360检测启动项禁用这个木马所带的6个启动项（汗一个- -！），发现无法禁止！我以为是需要重启，我就重启了，重启后！再用360检测，已经检测不到这个木马主程序了，但是他启动项还，我开启SSM防护也没什么异常，但是这些启动的负面作用，因那天太急，没有发西那什么异常，但是就是在360中检测到这么多启动项，我利用360定位注册表位置：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run
在这个位置下有这些启动项：（注意：变种不断的升级，可能有出入）
DXDLG32=DXDLG.exe
MSDWG32=LYLoadbr.exe
MSDCG32=LYLeador.exe
MSDOG32=LYLoador.exe
MSDSG32=LYLoadar.exe
MSDMG32=LYLoadmr.exe
MSDHG32=LYLoadhr.exe
MSDQG32=LYLoadqr.exe
zsmstc=rundll32.exe C:\\\\WINDOWS\\\\system32\\\\mxcdcsrv16_080327.dll start
第一想法肯定是删除，但是却删除不了！我当时那个郁闷的......病毒源被日了！启动项竟然不知道怎么处理好！当时很多电脑都还没检查，主管一直在催，主管叫我重装系统快点搞定，没办法，官大一级压死人，就重装了！
  后来，我就到百度找相关资料，竟然找不到关于这个梦幻木马WS变种的彻底清除方法！我就一个溜达，就溜达到了360百科，一搜，查杀结果就出来，原来是病毒改了注册表的相关管理权限！该木马在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 中加入everyone组的完全控制，删除adminstrators管理员组的权限。
  360百科也给了删除的方法，如下：开始-“运行”框中输入regedit，打开这几个启动项所在注册表中的位置HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 选中注册表左边的Run，点击“编辑”菜单，选中“权限”，点击“权限”菜单中的“高级”选项，点击“所有者”，将“所有者”更改为Administrators并把“替换子容器及对象所有者”点上勾就可以了（本来的“所有者”是everyone）。更改完毕，你就可以自己删掉这些注册表项目了。
  后记：在以往的查杀病毒过程中！我一直不怎么重视注册表的管理权限（除了SAM键下的键值比较重视），在这次的反病毒中，我是失败者，毕竟没有完全清楚掉它，虽然是已经删除了他的主程序！这个病毒总体来说清除起来不难，因为当时没带工具！这样的病毒，隐藏性跟自我保护性都不错，冰刃对付它应该很快搞定的！（希望有此病毒样本的朋友提供样本测试）想想今年的病毒变化，真的越来越牛X了！病毒也在跟杀软抢系统最高控制权了！写这个文章的目的只想提醒大家！注册表管理权限不能忽视，杀毒软件不可完全信赖（此次战争瑞星，金山，咔吧全被PK掉了），加强查杀的练习跟提升自我的安全意识不可忽视！
   
  360百科关于此病毒的解决方法地址：http://baike.360.cn/3238740/6126296.html