查看: 2903|回复: 3
收起左侧

Deskipn桌面传媒清除方法

[复制链接]
猪啊
发表于 2007-2-15 18:41:09 | 显示全部楼层 |阅读模式
程序运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:\windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件(公司名为Mass Effect Ntework,也许是这个公司赞助开发),以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。


程序运行时,在x:\windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动,向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)
同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)
向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向c:\windows\system32.internet.exe



驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除



清除方法,我先将被mspcidrv.sysHOOK的系统函数还原,使用的工具是Rootkit Unhooker,还原之后,首先把驱动本身的注册表项清除,至此这个驱动被从系统中连根拔除,其余的启动项和浏览器加载项因为失去驱动的保护,也都可以清理掉了,我以为至此就算结束了。



在我全部清理完后,刷新一下注册表,发现有两项又不可思议的回来了,它们分别是文章开头说的那两个最终目的,一个远程监控的系统服务,一个赞助公司的ie浏览器加载项
难道这就是传说中的即使将文件完全清理掉,也可从内存中恢复的木马?



现在要说到上文提到的HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。
实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写,以下是它对注册表的监控记录

23:12:03.468 explorer.exe:1416 OpenKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D0903A3B-F0EA-434a-9742-98C5335C7946} SUCCESS Access: 0x2000000  
23:12:03.468 explorer.exe:1416 CloseKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D0903A3B-F0EA-434a-9742-98C5335C7946} SUCCESS


23:17:47.703 esplorer.exe:1416 OpenKey HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main SUCCESS Access: 0x2001F  
23:17:47.703 explorer.exe:1416 SetValue HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions SUCCESS "yes"
23:17:47.703 esplorer.exe:1416 CloseKey HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main SUCCESS



这一招的作用是,在驱动还在的情况下,如果注册表项被删除(虽然系统函数已被驱动HOOK,但使用Icesword也是可以绕过HOOK删除的),就立刻重写
在驱动已被清除的情况下,可以说是最后的挣扎,拼死保证两个最终目功能的完整
因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。


清理的办法很简单,只要把它插入的系统进程explorer结束掉,他所残留在内存中的最后一点痕迹也会被清理干净,这时候再去清理那两个最终目的的注册表启动项,就不会再生成了,至此这个木马完全被清理干净。


如果不结束explorer进程而直接关机,虽然下次开机之后还是会加载,但这时的两个启动项已经完全不受任何保护了,清理掉是很容易了。

评分

参与人数 1经验 +10 收起 理由
ALEXBLAIR + 10 原创内容

查看全部评分

pabgy
发表于 2007-3-31 01:56:45 | 显示全部楼层
我中招了……但有点听不懂俄~有没有简单易懂点的……谢谢LZ拉~
deadend1984
发表于 2007-3-31 07:57:02 | 显示全部楼层
用arswp  这个可以清除桌面传媒  下了以后记得升级啊
deadend1984
发表于 2007-3-31 11:41:09 | 显示全部楼层

RE

未命名.GIF
卡卡扫出来的   刚发错了 ARSWP扫不出来
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:50 , Processed in 0.135879 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表