用瑞星的后果

绅博周幸

瑞星让病毒给作了


前天一同事过来跟我说，他那边办公室的电脑突然上不了网了，而且杀毒软件也打不开了。PS：这小子趁前一段时间的省上某个项目经费下来了，用公费买的正版瑞星，150个银子呢。。。啧啧，不像我们，一直用的D版卡巴。
过去打开他的电脑一瞧，发现瑞星的病毒监控已被关闭，点击瑞星主程序图标无任何反应，不过网络防火墙还能正常运行。看来是被病毒给作掉了。试着CTRL+AIT+DEL打开任务管理器，没反应，看来也给禁掉了。掏出自已的U盘，往他的电脑上一插，想用SRENG作个扫瞄报告瞧瞧。谁知根本就启动不了SRENG，想必也给病毒给禁掉了，于是把SRENG。EXE改名为SR。COM，点击，咦？居然要注册码？偶可是最新版的SRENG啊，再一看电脑上的系统时间，居然给改成了2004—01—22日！把系统时间重新改回，点击SR。COM。终于成功运行，先查看了一下启动项，发现有三个异常自启动，最明显的就是SHELL项被修改成指向C：\windows\system32\drivers\conime.exe，另外还有两个C：\windows\system32\qmmxtr.exe，C：\windows\system32\severe.exe的启动项，从扫瞄报告上看，驱动及系统服务没看出什么异常，winsock也没什么问题，不过该病毒在HOSTS列表里屏蔽了包括瑞星，金山，江民，卡巴，诺顿等大多数杀毒软件的网址，用心良苦啊。根据扫瞄告扫出的病毒名，我想试着在系统内找到病毒文件再说，试着在文件夹选项显示所有文件及文件夹，居然无法更改此选项！于是试着先把SHELL项修改为正常值，删除两个病毒启动项，清空HOSTS列表，不过马上发觉这样根本没什么效果，病毒迅速就把修改项又改回来了。算了，用冰刃吧！点击icesword.exe，没反应？看来这个病毒把冰刃也给禁了啊。再一看系统时间，晕，又给我改回2004-01-22了。
把系统时间重新改回，将icesword.exe重命名为ICE.com，点击，成功打开冰刃，在设置里禁止进程创建。查看进程，果然，conime.exe，severe.exe，qmmxtr.exe三个病毒进程都在。用冰刃试着将病毒进程一一杀掉，谁知刚杀到最后一个进程conime.exe，系统蓝屏，重启了。再进系统一瞧，病毒进程仍然好好在那呆着，重新试了一下对病毒进程的杀灭，NND，又蓝屏重启了。
正常模式不行了，老子进安全模式下总可以吧？于是重启时按住F8进了安全模式，嘿嘿，想不到这三个病毒居然在安全模式下仍然能被正常加载！再试一下用冰刃禁止进程，咣的一下，又重启了。
NND，那我先删病毒程序总可以吧？仍然安全模式重启，用冰刃找到对应的病毒文件，删除，没三秒钟，病毒文件居然又回来了。恨的我咬牙切齿的。想直接用电脑自带的搜索功能搜索病毒程序吧，又无法显示所有文件。。（被病毒给禁掉了），突然想起自已办公室电脑上MS有个专门用来修复此此种情况的注册表文件，于是跑回自已的办公室，把U盘往自已的电脑一插，没想到卡巴杀猪声立马大作！发现木马程序重要资料.exe，发现木马程序美女游戏！发现木马程序OSO.exe!U盘病毒？立即在自已的电脑上选择显示系统及隐藏文件，果然，在U盘上选择右键菜单，果然，被加入了AUTO项！打开U盘，还残留了一个autorun.inf文件，其实病毒程序已经被卡巴给作了，这个autorun.inf现在已没什么危害，不过当然还是删除了事啦。
拷入我需要的注册表文件。回到染毒的电脑上，这次我多了个心眼，对他电脑上的五个分区一一用右键菜单查看了一下，发现除了C盘系统盘外，其余的四个分区一律被加入了AUTO项，果然是U盘病毒！在查看最后一个分区G盘时，我发现以前我为这台电脑作的GHOST备份文件消失了！问同事，他说绝不可能是他删除的，我靠，威金变种？
算了，我还是继续自已的杀毒大业吧。双击我拷回的注册表文件，没反应？在运行项里直接输入regedit，还是没反应！而且这个时候我发现，系统时间居然又给改回2004-01-22了，看来这个病毒在禁止一些安全相关程序运行时，同时监控着用户的相关操作，一旦发现用户有操作类似SRENG，冰刃，注册表一类的程序时，立马修改系统时间，让你无法运行。
将系统时间重新改回，进目录，找到注册表，将其更名为RE.com，双击，成功打开注册表。好了，这次双击我拷回的注册表修复文件，提示找不到合适的程序来打开这个文件？当然啦，因为注册表文件被我更名了么，手动打开程序选择RE。COM。成功导入注册表文件。这下再选择显示所有文件及文件夹，成功！
根据SRENG的扫瞄报告，在C：\windows\system32\drivers\找到CONIME.exe，试着删除，两三秒钟时间病毒又回来了~~试着删除另外两个病毒程序，也是这样。。
这个时候我是真没招了，直接先禁止进程吧，一杀掉进程就蓝屏重启，不禁止进程吧，病毒一删，几秒钟时间就回来了。。。等等，我有主意了。
先在桌面上建立了一个文件夹，命名为severe.exe，复制这个文件夹，然后进入C：\windows\system32\，试着将这个文件夹粘进去，当然是粘不进去了，提示：“因为这个目录下存在同名文件，所以无法创建该目录！”嘿嘿，要的就是这个！在C：\windows\system32\中找到severe.exe，右建，删除，然后快速点击粘贴，成功，同名文件夹粘进去了！
然后我继续在桌面上创建了qmmxtr.exe,conime.exe,oso.exe，重要资料.exe，autorun.inf等五个文件夹，先删除qmmxtr.exe，将同名的文件夹快速粘进去，（同志们，在完成这个步骤时，速度一定要快！手千万不要抖喔），其它的病毒程序处理也如法炮制。。PS：处理非系统盘时一定要注意，不要双击打开分区，用右键菜单选择打开，一般在分区根目录下有两个病毒文件，autorun.inf，oso.exe，按以上步骤对四个分区进行清理。清理完毕，重启。
重启进系统时停滞了两三秒钟，然后就看桌面上陆续打开了conime.exe文件夹，severe.exe文件夹，qmmxtr.exe文件夹，都是一闪而没，那时那个心里高兴啊，任你再奸还是被我一个小花招给骗了吧？这个时候在任务栏就看到代表瑞星病毒监控的小绿伞终于打开了，再双击瑞星杀毒的图标，成功打开瑞星！
这个时候，再打开SRENG，将被病毒修改的SHELL项再改回，删除两个病毒启动项，清空HOSTS列表，保存，这下成了。再进注册表，搜索了一下病毒残余，删除，至此，这个顽固病毒终于被请出去了。
这次杀毒费时近三个小时左右，在试过多种传统方法无效的情况下，最终用一种无赖办法的把它给干掉了，利用了在同一目录下，同名的文件和文件夹不能同时存在的原理，我不知道以后的病毒作者会不会注意到这个问题（阿门，千万别让我的愿望成真。。），同时在这里强烈对瑞星~~不能说是鄙视，不过起码是小瞧，防毒的居然被病毒作的一点脾气都没有，你看我用的小卡多好，晃都没晃一下（偶不是枪手，这也不是给谁作广告，谁骂我枪手我跟谁急），就在今天下午，我们单位另一台电脑也被同种病毒传染了，仍然安装的是瑞星~~估计是被那些被染毒的U盘传播上的。。唉，在清除完这个病毒后，我用OSO。EXE作搜索关键词百度了一下，发现这个病毒还挺有名，不过有网友说这个病毒瑞星已经能够查杀了，那我遇到的这个病毒瑞星又怎么回事哩？表跟说我病毒库更新不及时的鬼活。。。




PS:看来卡巴在防毒方面比瑞星好一些

walkingmu

老大
卡巴比瑞星好是显见的
瑞星一下可以用四年呢，卡巴一年就要续费了

feiren

卡巴当然比X星好

7KB

版主真的是被踢出绅博的周幸么

居然在这里碰见了.

stevenji2000

这病毒之强恐怕很多杀软都会遭到毒手的

shx19821006

文章太长懒的看了,瑞星差已经被公认了

stevenji2000

经虚拟机中运行，与脱壳后OD分析结合，其行为如下：

文件创建：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X指非系统盘符
%systemroot%是环境变量，对于装在C盘的Windows XP系统，默认路径为C:\WINDOWS文件夹，以下以此假设进行分析。

创建进程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe

使用net stop命令，结束可能存在的杀毒软件服务

调用sc.exe，
config [对应服务] start=disabled
禁用这些服务

被结束和禁用的服务包括：
srservice
sharedaccess（此即系统自带防火墙——笔者注）
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter

其中，在结束瑞星服务的过程中，由于瑞星会弹出提示，病毒作了相应处理：
用FindWindowA函数，捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数，找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息，相当于按下此按钮


禁止或结束以下进程运行，包括但不限于：
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

创建noruns.reg，并导入注册表，之后删除此文件。导入内容：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
改变驱动器的autorun方式（在我的虚拟机里没有实现）

修改注册表，创建启动项（后来在SREng日志中可见的项目）：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

为预防瑞星注册表监控提示，故伎重施：
用FindWindowA函数捕捉标题为“瑞星注册表监控提示”的窗口
用mouse_event控制鼠标自动选择允许修改。

访问注册表
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
CheckedValue键
破坏显示隐藏文件的功能（这一点在我的虚拟机中没有实现，可能是被TINY或SSM默认阻止了）


然而，做了这么多工作除去杀毒软件之后，作者似乎觉得还不保险，他终于使出了“杀手锏”：
在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
创建以安全软件程序名为名的子项

子项中创建子键
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
使得这些程序在被双击运行时，均会转为运行病毒文件mpnxyl.exe
形如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"

autoruns的日志中可以清楚地看到这些项目，以及遭到这种手法“蹂躏”的程序：
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

删除卡卡助手的dll文件kakatool.dll（的确这么做了，虚拟机运行的结果和程序代码里的内容相映证）

为了堵死中毒者的“后路”，又采取了另一种卑劣的手法
修改hosts文件，屏蔽杀毒软件厂商的网站，卡卡社区“有幸”成为被屏蔽的其中一员：
这是后来用SREng看到的结果，在程序代码里也有相应内容：

127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com

另外：

hx1.bat内容：
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0

改日期？不过在虚拟机里没有实现

autorun.inf的内容：
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe

如果你要从右键菜单来判别，很不幸，右键菜单完全看不出异常，无论你是双击还是右键，同样会激活病毒！

TINY还记录到，病毒关闭系统还原服务后再打开。这恐怕会导致丢失还原点的结果。

至此这个十分恶劣的病毒的行为分析告一段落，下面介绍清除方法（上面内容看得头晕的会员们，直接看清除方法即可）


清除方法归结为一句话：“夹缝中求生”
IceSword.exe、SREng.exe均被禁，但只需将文件改名，照样可以运行
autoruns.exe则不在被禁的行列
其他的被禁程序，一步步解禁

具体过程：

结束进程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等

用autoruns删除以下项目（建议用autoruns，一是没被禁，二是一目了然，注意先选Options-Hide Microsoft Entries）：
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止

删除或修改启动项：
以用SREng为例
在“启动项目”-“注册表”中删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]

双击以下项目，把“值”中Explorer.exe后面的内容删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

删除文件：
由于非系统盘即便右键打开也会有危险，应该采用其他方法，推荐用IceSword或WINRAR来做
删除：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf

系统修复与清理：

在注册表展开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除，再新建正常的键值：
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun键的值，是否要改，要改为什么，视乎各人所需，一般默认为91（十六进制的）
此键的含义，请搜索网上资料，在此不再赘述

HOSTS文件的清理
可以用记事本打开%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的内容
也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”，然后点“保存”

最后修复一下服务被破坏的杀毒软件。

小结：
从拿到样本到方法写完，历时整整五小时。之所以要说得如此详细，是因为这个病毒相当的典型，尤其是它对付安全软件的几种方法。右键菜单没变化，也是比较“隐蔽”而且给清除带来麻烦的一个特征。对付这个病毒，也要在“知己知彼”的基础上，灵活运用方法和工具。

solcroft

佩服！
小弟有个疑问，据阁下说，severe.exe已被加载入内存，那怎么会被删除了？看来搂住也运气满好，病毒没把你创建的severe.exe删了

stevenji2000

之所以很多人都说瑞星LJ，是否树大招风的原因呢，现在很多病毒都冲着关闭瑞星去的

kk130

原帖由 stevenji2000 于 2007-2-16 15:05 发表
之所以很多人都说瑞星LJ，是否树大招风的原因呢，现在很多病毒都冲着关闭瑞星去的

肯定是的
装瑞星中招的很多是白板级用户