下载下来玩了一下，中毒後的情况大致上是这样... (以下动作并不是一次完成的，有些动作要重新开机好几次後才会完成，不过这些动作的 顺序大致上跟我打的顺序相同) (1) 为防止防毒软体和防火墙运作，删除以下机码： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 注意是删除整个机码，不是"清空" 不过个人觉得这招很烂，因为如果防毒软体是以服务的方式启动的话就没用了 而且只删除HKLM下的Run机码，HKCU的不会删... (2) 删除以下注册值，以破坏安全模式： HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} (3) 修改注册表，使系统不能显示隐藏档案 (4) 查找带有某些关键字的进程，并阻止其正常运行或将其关闭 (5) 建立下列档案并执行： %SystemRoot%\system32\com\LSASS.EXE %SystemRoot%\system32\com\SMSS.EXE %SystemRoot%\system32\com\netcfg.dll %SystemRoot%\system32\com\netcfg.000 其中LSASS.EXE在每次启动的时候都会监控HKLM下的Run机码，如果发现使用者修复此段机 码的话则再次执行删除动作，并锁定HOST档案，使用户不能存取，但不会修改该档案的内 容 (6) ping百度网站以确定系统是否连接到网路，若封包全部遗失则不执行任何动作，如果 ping成功的话则启动IE(背景执行，不会出现在工具列上)，并连到远端网站下载其它恶意 程序，就小弟知道的档案有： %SystemRoot%\system32\000.cfg0 %SystemRoot%\system32\packet.dll %SystemRoot%\system32\pthreadVC.dll %SystemRoot%\system32\wpcap.dll %SystemRoot%\system32\dnsq.dll %SystemRoot%\system32\appand.exe %SystemRoot%\system32\drivers\npf.sys %SystemRoot%\system32\drivers\alg.exe %SystemRoot%\system32\ntfsus.exe 其它还有很多，族繁不及备载，因为这些档案都是要透过网路下载的，所以要等很久才会 全部下载完，但小弟实在没那个耐心等他慢慢下载完... (7) 在各磁碟区建立pagefile.pif、autorun.inf，使用户在开启任一磁区时都会启动病 毒 (8) 建立BHO： 名称：IfObj Control CLSID：{D9901239-34A2-448D-A000-3705544ECE9D} 路径：%SystemRoot%\system32\com\netcfg.dll (9) 感染逻辑磁区的应用程式，如果使用者有安装WinRAR的话还会透过-inul、-ibck等背 景解压缩命令来感染压缩档内的应用程式档案，被病毒感染的应用程式图标颜色会变得十 分粗糙，很容易分辨 (10) 此病毒不会透过注册表来达到随机启动的目的，而是在系统每次关机或重新启动时 释放~.exe至"C:\Documents and Settings\All Users\「开始」功能表\程式集\启动" ，使系统在开机时会自动执行~.exe，此应用程式会执行LSASS.EXE和SMSS.EXE，启动後随 即自我删除，因此使用类似Hijackthis或SREng的扫描工具无法发现其启动方式，而释放 在All Users下的原因是为了防止使用者利用其他使用者帐户进入系统来删除中毒用户下 的~.exe(放在All Users下不论使用哪个帐户进入系统都会启动~.exe) 删除方法： 删除的方法其实很简单，以下提供两种删除的方法，如果你有WinRAR、OTMoveIt和SREng 的话请看第一种方法，如果什麽都没有，只有一台中毒的电脑的话请看第二种： Solution1： (1) 停用网路，避免病毒持续从远端下载恶意程序，并关闭系统还原及浏览器 (2) 使用OTMoveIt将下列档案删除： %SystemRoot%\system32\com\LSASS.EXE %SystemRoot%\system32\com\SMSS.EXE %SystemRoot%\system32\com\netcfg.dll %SystemRoot%\system32\com\netcfg.000 -------------------------------------------------------------- %SystemRoot%\system32\000.cfg0 %SystemRoot%\system32\packet.dll %SystemRoot%\system32\pthreadVC.dll %SystemRoot%\system32\wpcap.dll %SystemRoot%\system32\dnsq.dll %SystemRoot%\system32\appand.exe %SystemRoot%\system32\drivers\npf.sys %SystemRoot%\system32\drivers\alg.exe %SystemRoot%\ntfsus.exe 注意分隔线之前的档案是病毒本身建立的，分隔线之後的档案则是病毒利用网路至远端网 站下载的，因此每部系统内有的档案不一定相同，要看病毒下载了多少档案而定 (3) 执行(2)後OTMoveIt会要求重新开机，重新开机後注意不要进入任何磁区，否则会触 发pagefile.pif使病毒再生。利用WinRAR进入到各磁区下检查pagefile.pif和 autorun.inf是否确实被删除，再到%SystemRoot%\system32\com下将SMSS.EXE删除，由於 使用OTMoveIt会有一部分的档案删除不完全，因此需要利用WinRAR来重新检查一次 (4) 利用SREng，将IfObj Control这个BHO删除 (5) 删除和上述病毒档案相关的注册值，但是删除的时候要注意，因为Windows系统中确 实有名为LSASS.EXE、SMSS.EXE和alg.exe的系统档案，故删除注册值时要注意删除的是和 病毒相关的注册值还是和系统档案相关的注册值(从档案的位置来分辨) (6) 添加下列注册值以修复安全模式： HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" (7) 新增机码： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Solution2： (1) 停用网路，避免病毒持续从远端下载恶意程序，并关闭系统还原及浏览器 (2) 在"C:\Documents and Settings\All Users\「开始」功能表\程式集\启动"目录下 建立一个名为~.exe的资料夹，然後重新开机，由於该目录下已经有一个名为~.exe的档案 ，故病毒无法在重新开机时在该目录下释放~.exe，因此系统重新启动後病毒不会启动 (3) 重新开机後注意不要进入任何磁区，否则会触发pagefile.pif使病毒再生。 从[开始]→[执行]，输入cmd, 利用命令列来修改病毒档案的属性，并加以删除，例如假 设我的系统有两个分割区，分别为C和D，则可利用以下命令删除： @echo off attrib -a -r -s -h "C:\WINDOWS\system32\com\LSASS.EXE" del "C:\WINDOWS\system32\com\LSASS.EXE" attrib -a -r -s -h "C:\WINDOWS\system32\com\SMSS.EXE" del "C:\WINDOWS\system32\com\SMSS.EXE" attrib -a -r -s -h "C:\WINDOWS\system32\com\netcfg.dll" del "C:\WINDOWS\system32\com\netcfg.dll" attrib -a -r -s -h "C:\WINDOWS\system32\com\netcfg.000" del "C:\WINDOWS\system32\com\netcfg.000" attrib -a -r -s -h "C:\autorun.inf" del "C:\autorun.inf" attrib -a -r -s -h "C:\pagefile.pif" del "C:\pagefile.pif" attrib -a -r -s -h "D:\autorun.inf" del "D:\autorun.inf " attrib -a -r -s -h "D:\pagefile.pif" del "D:\pagefile.pif" 其他由网路下载下来的恶意程序也可以用相同的方式删除 (4) 删除和上述病毒档案相关的注册值，但是删除的时候要注意，因为Windows系统中确 实有名为LSASS.EXE、SMSS.EXE和alg.exe的系统档案，故删除注册值时要注意删除的是和 病毒相关的注册值还是和系统档案相关的注册值(从档案的位置来分辨) (5) 添加下列注册值以修复安全模式： HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" (6) 新增机码： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 这只病毒其实不难删除，但是如同junorn大所说的，麻烦的地方在於无法使用目录建立防 止档案写入的方式，因为该病毒启动时执行的命令列为： rd %systemroot%\system32\com\LSASS.EXE /s /q rd %systemroot%\system32\com\SMSS.EXE /s /q rd %systemroot%\system32\com\netcfg.dll /s /q rd %systemroot%\system32\com\netcfg.000 /s /q rd %systemdrive%\autorun.inf /s /q rd %systemdrive%\pagefile.pif /s /q 故病毒每次启动都会将原有档案删除再重新建立一次，因此无法免疫，也就是说只要运行 那些被病毒感染的应用程式，系统仍然会中毒，无法避免… --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.166.26.236 ※ 编辑: gummybears 来自: 140.119.72.56 (03/24 18:53)