查看: 1657|回复: 0
收起左侧

网页木马群猖獗处理的一点心得

[复制链接]
282937372
发表于 2007-4-6 14:44:04 | 显示全部楼层 |阅读模式
近一段时间,网页木马群猖獗。
中招,一般是访问某些挂马的网页时,成堆的木马下载到IE临时文件夹中并悄悄运行。用户发现系统异常时,系统内已经木马成堆了。这类木马群的内容各式各样,但有一点相同之处:其中的病毒模块(常见的是dll文件)狂插系统及应用程序进程,导致杀毒困难。
未打微软的ANI漏洞补丁是中这类网页木马的主要原因。

今天见到有人反映类似情形。按照他给的网址,在未打ANI漏洞补丁的系统上,用IE6.0访问了那个网页。结果如愿以偿,终于第一次亲眼见识了一下ANI漏洞的“风采”。

以下列出中招后用SRENG和IceSword灭掉这群木马的实战流程,供中招的朋友们实战参考。

0、用SRENG 2.3 扫系统日志,保存日志,掌握中毒后的基本情况并为手工杀毒提供必要信息。

1、运行IceSword,禁止进程创建。

2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1464][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 440][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1832][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2572][C:\Program Files\Rising\Rav\RAVMON.EXE] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 3304][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2772][C:\windows\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2524][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1696][C:\program files\internet explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1800][C:\windows\wsttrs.exe] [N/A, N/A]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[PID: 1000][c:\Syswm1i\svchost.exe] [N/A, N/A]
[c:\Syswm1i\Ghook.dll] [N/A, N/A
[PID: 3020][C:\Program Files\Tiny Firewall Pro\UmxTray.exe] [Computer Associates International, Inc., 6.5.1.59]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1348][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
注:由于IceSword是中毒后运行的,因此应查看其进程中是否有病毒模块插入。如果有,须卸除之。
3、删除病毒文件(图1)。
注:C:\Documents and Settings\baohelin\Local Settings\Temp\ie777.exe只有用IceSword才能找到并删除(图2)。ie777.exe似乎是这群木马的“灵魂”,其进程为“隐藏”,但用IceSword和SSM均可见此进程。

4、根据SRENG日志所见,清理注册表(删除下列注册表项):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]分支下的:
svc
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]分支下的:
333
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]分支下的:
winform
mppds
upxdnf
msccrt

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的:
WindowsDown

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的:
NPF

注意:C:\windows\system32\servet.exe感染U盘、移动硬盘等移动存贮介质。如果系统中毒时USB口上有这类设备,请右键打开这些设备,删除其根目录下的autorun.inf和servet.exe。
155847200746111810.jpg
155847200746111839.jpg
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:38 , Processed in 0.133890 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表