近一段时间,网页木马群猖獗。
中招,一般是访问某些挂马的网页时,成堆的木马下载到IE临时文件夹中并悄悄运行。用户发现系统异常时,系统内已经木马成堆了。这类木马群的内容各式各样,但有一点相同之处:其中的病毒模块(常见的是dll文件)狂插系统及应用程序进程,导致杀毒困难。
未打微软的ANI漏洞补丁是中这类网页木马的主要原因。
今天见到有人反映类似情形。按照他给的网址,在未打ANI漏洞补丁的系统上,用IE6.0访问了那个网页。结果如愿以偿,终于第一次亲眼见识了一下ANI漏洞的“风采”。
以下列出中招后用SRENG和IceSword灭掉这群木马的实战流程,供中招的朋友们实战参考。
0、用SRENG 2.3 扫系统日志,保存日志,掌握中毒后的基本情况并为手工杀毒提供必要信息。
1、运行IceSword,禁止进程创建。
2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1464][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 440][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1832][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2572][C:\Program Files\Rising\Rav\RAVMON.EXE] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 3304][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2772][C:\windows\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2524][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1696][C:\program files\internet explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1800][C:\windows\wsttrs.exe] [N/A, N/A]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[PID: 1000][c:\Syswm1i\svchost.exe] [N/A, N/A]
[c:\Syswm1i\Ghook.dll] [N/A, N/A
[PID: 3020][C:\Program Files\Tiny Firewall Pro\UmxTray.exe] [Computer Associates International, Inc., 6.5.1.59]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1348][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
注:由于IceSword是中毒后运行的,因此应查看其进程中是否有病毒模块插入。如果有,须卸除之。
3、删除病毒文件(图1)。
注:C:\Documents and Settings\baohelin\Local Settings\Temp\ie777.exe只有用IceSword才能找到并删除(图2)。ie777.exe似乎是这群木马的“灵魂”,其进程为“隐藏”,但用IceSword和SSM均可见此进程。
4、根据SRENG日志所见,清理注册表(删除下列注册表项):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]分支下的:
svc
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]分支下的:
333
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]分支下的:
winform
mppds
upxdnf
msccrt
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的:
WindowsDown
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的:
NPF
注意:C:\windows\system32\servet.exe感染U盘、移动硬盘等移动存贮介质。如果系统中毒时USB口上有这类设备,请右键打开这些设备,删除其根目录下的autorun.inf和servet.exe。 |