最近几天遇到的一些映像劫持病毒,同事反映处理起来非常困难。我也接到不少,处理步骤的确比较多但是一般都可以清理。只是出现了一些变化,本文旨在提供一种清理任何病毒的思路,虽然会有争议,但是却行之有效的方法。(关于争议我在文章最后会做解释。)
首先说工作中的两个病毒案例:
案例一:
在注册表里劫持到系统目录c:\windows\system32\rslrgah.exe (以前的劫持文件通常是8位随机.dat)
此样用户本在各个盘符下面生成autorun
[AutoRun]
open=dagssgg.exe
shell\open=打开(&O)
shell\open\Command=dagssgg.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=dagssgg.exe
根据分析,此用户中了NSPack壳木马程序Trojan-PSW.Win32.Delf.qx
和FSG壳木马程序 Trojan-Downloader.Win32.Agent.bpp
用E:\ del /f /s /q /a:- d(查知病毒文件位置)
删除文件 - E:\dagssgg\dagssgg.exe
修改主机列表文件
HOSTS 文件
127.0.0.1 localhost
60.169.2.229 www.wgcome.com
案例2:
使用unlocker删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\;
除系统盘外其他磁盘根目录下的autorun.inf以及随机的8位exe文件;
清空临时文件夹。
后发现病毒再度生成,并且使用unlocker刚删除几秒后便再生,无法用unlocker重命名等。
解决方法:(本文重点,完整思路。首先以当前的病毒处理为例,既然病毒使用映像劫持干掉了杀毒软件,同样我们也可以干掉病毒。)
1正确显示隐藏文件:
可以通过导入正确reg文件;sreng改名后可用的话,在系统修复的windows shell/ie里面全选修复(不要带用户找具体位置);直接修改注册表。
2显示出隐藏文件后使用unlocker删除这些文件。注意:下面所有操作均不要双击,使用右键打开或者运行。
删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\目录下随机生成的8位隐藏文件(如6d410e.dll,6d410e.dat,6d410e.ime);
3删除除系统盘外其他磁盘根目录下的autorun.inf以及随机的8位exe文件;
4在开始-运行输入%temp%清空临时文件夹,如果无法删除同样用unlocker删除。
如果上述操作无法处理病毒的话,在第一步结束以后便可以看到各个盘符下面的隐藏文件,可以知道病毒文件的名称,这就好办啦!
编写一个映像劫持病毒的reg导入即可!导入后重新启动便可以简单删除病毒文件!网上好多人劫持都用了批处理,我人比较懒,喜欢就地取材!选用了系统目录下的syncapp.exe,这个一般用户都不知道的程序。用下面的注册表文件,只需要修改一下便可以解决任何你已经指导病毒文件名,但就是处理不掉的病毒!(注意:根据最近接到的一些问题看,映像劫持最好到注册表里面确认劫持所用的文件,如果不是上面的随机.dat的话需要确认劫持的.exe是什么在何路径。也就是说,下面的劫持的病毒程序需要写两个或者更多。)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要劫持的程序.exe]
"debugger"="C:\\windows\\system32\\syncapp.exe"
或者编写批处理
@echo off
echo Windows Registry Editor Version 5.00>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要劫持的程序.EXE] >>ssm.reg
echo "Debugger"="要劫持的程序.EXE" >>ssm.reg
rem regedit /s ssm.reg &del /q ssm.reg
根据以上思路,可以举一反三。任何已知病毒名称却无法处理的顽疾,基本都可以靠此方法处理。我之前做实验用此方法可以将svchost.eve劫持掉,如果劫持以后开机进程里面出现了sv0host.exe便很好判断了。至于此方法的扩展用法我就不多说了,能看明白的已经明白了,多说也无益。
关于此方法的争议:
首先我写本文的初衷是丰富大家处理思路,并不建议广泛使用。
其次,如果遇到疑难病毒,此方法的确比较简单有效。
最后,此方法只不过在注册表里面留下劫持项目,并无任何破坏;劫持所用的程序也是系统自带文件。
就像是毒霸的威金免疫在注册表中写入ISAFRemoteDesktopSession阻止_desktop.ini生成一样,除了自己闲得没事写输出_desktop.ini文件的程序的人会对此不满外,我相信一般用户也不会关注到它。如果用户处理完病毒后要求删除掉劫持项目的话,再编辑提供一个删除病毒劫持的reg文件即可。
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要劫持的程序.exe]
另外关于映像劫持的防御方法,网上很多人已经说得很烂了,我只想举目前一个还没有看到别人写过的方法。
如果使用的是卡巴斯基杀毒软件的话,可以通过编辑主动防御规则,从而实现封锁映像劫持:
打开卡巴斯基设置-主动防御-注册表防护-添加-组名填入Image File Execution Options-键值添加【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】<*debugger>-规则新建*即可。
一会再回复一会用户邮件便睡觉了,等着过两天过六一了!今天收到了朋友的祝福,感觉很温馨!还有人想着我,知足了!哈哈!
关于此方法的补充说明:
昨日在用户日志中发现,C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe还好他不释放dll用来监守。监守工作主要还是由temp和system32目录下的程序释放dll完成。按照之前方法重启计算机后,结束此进程删除所有项目即可。但要注意一点,劫持的是svchost处理病毒完成后一定要将其解锁。否则会造成用户中毒假象,如桌面图标无法拖拽等。根据映像劫持特点,一定要对系统程序了解才可以使用此方法!假如病毒名称为winlogon.exe的话,一定不要劫持!否则你就又要用winpe盘进入系统修改注册表了!对于,对此方法似懂非懂的用户,尤其是个别网管,建议与客服中心联系解决。关于实现的方法,可以通过reg,vbs,bat实现。关于reg实现,建议将毒霸相关程序解锁;关于bat实现,建议将毒霸相关程序改名。关于此方法的特点打一个比方,一个犯罪团伙去抢劫银行,临走前对着摄像头说:“我是暴徒!” ok!他已经上了黑名单!但如果他说自己是“卧底”,那样的话警方的卧底也有可能被拘留!
 |
