虽然今天是情人节，不过对于我来说也不过是一个普通的日子罢了。

下午，无聊中，打开VMware准备学习，用了一下感觉今天特别卡，还是关掉杀毒软件吧。

打开IceSword，（BT的F-Secure Anti-Virus进程N多，还不能直接关闭，要杀掉进程才行） 查看进程，一眼就发现了红色的IEXPLORE进程。楞了下才反应过来，中标的感觉真好，呵呵。查看进程模块信息发现在
D:\Documents and Settings\Administrator\Local Settings\Temp\下的xpnq28t.dll 非常可疑，

强行解除IEXPLORE.EXE加载的这个dll，准备手动删除文件。

FT，删除不掉，搜索注册表不见踪迹，不知道还有什么进程在使用它们。

懒得手工找了，装载杀毒软件查查看吧...

Shit！它一定是HOOK了CreateProcess API，这下好玩咯，满版的红色进程。

X的，这么多，我找我找我找找找，找不同进程包含的相同模块去。

突然发现LoveXR.lmz模块信息，位置在D:\Program Files\Common Files\Microsoft Shared\MSInfo\下，LOVE？难道是情人节特产？

嘿嘿，有点意思了。马上打开文件夹选项，勾选查看隐藏系统文件以及查看所有隐藏文件，看看LoveXR.lmz文件的创建时间为2005-10-28 3：56，小样的，看来还修改了时间啊。

不过D:\WINNT下怎么多了个MUI目录呢？原来也注意到了，不过看看创建时间是2005年的就没去留意它了，所有被ICESWORD标记红色的进程都包含有mstcf.dll.mui模块，看来也不是什么好货色。

再看看D:\WINNT\system32\下的IGPGNL.DAT，哼哼，看来这个是正主了。创建时间为2006年2月14日, 12:47:19。

该找的也差不多找完了，下面我们就该开始动手清除了，看来这个病毒还不是一般狡猾呢，想必删除它也不是一帆风顺的。按照标准的步骤来吧，先把涉及到的进程都kill掉，然后搜索相关文件，然后删除。先从我可怜的杀毒软件开始吧...

怎么杀不掉进程呢，不会吧。换系统自带的任务管理器杀进程树，嘿嘿果然没有了。返回ICESWORD，怎么还是没有干掉该死的杀毒软件啊！！这时不详的预感笼罩在头上...我慢慢的把鼠标移到taskmgr.exe进程上，右键点击，左键选模块信息...

果不其然，熟悉的IGPGNL.DAT，xpnq28t.dll，LoveXR.lmz以及msctf.dll.mui又出现在眼前。

继续查看其它没有显示红色的进程，模块信息都加载了这几个文件，我终于反应过来了，原来IceSword也是受害者啊，哈哈。

不知道还有没有别的隐藏份子，搜索系统所在盘，查找创建时间为2006-2-14 12：47的文件，在D:\WINNT\system32\下又出来两个：wsr.sys和taskman32.exe， 都删掉。

然后查看WINNT目录下的setupapi.log文件，在最后我们会发现下面的内容：
[quote]
Munged cmdline: "D:\WINNT\hh.exe" Q:\HAV\Star Tokyo Vol.4\Star Tokyo Vol.4.chm
EXE 名称: D:\WINNT\hh.exe
正在将文件 D:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\FGKRDTR3\IsUninst[1].exe 复制到 D:\WINNT\Downloaded Program Files\IsUninst#32.exe。
安装了一个没有签署的或签署得不正确的文件(D:\Documents and Settings\Administrator.LYS\Local Settings\Temporary Internet Files\Content.IE5\FGKRDTR3\IsUninst[1].exe)。错误 0x800b0100: 主题中没有签名。[/quote]

问题的原因找到了，看来并不是我们前先认为的情人节病毒而是CHM文件木马。不过经过查找并没有发现这个程序，可能是执行后自删除了吧。

用上面的几个文件名称来搜索注册表，结果发现
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tasks
Imagepath = D:\WINNT\system32\taskman32.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zotyup
Imagepath = D:\WINNT\system32\wsr.sys  

在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services下也有这两项，
都删除掉吧。

经过网络搜索，初步判断这个木马是灰鸽子或者灰鸽子的变种。

建议发现中毒后要立刻断开网络连接，然后按照文章提及的相关文件名称进行查杀，如果有双系统的朋友就方便一点，重启到另外一个系统删掉病毒文件就是；不然只能找张启动盘到DOS下手工查杀了，磁盘格式是NTFS的可以使用NTFS for DOS软件，不少启动盘里都带有。
这里我们不考虑重装系统这种操作，虽然它对于初学者来说的确很方便。但是！如果你想提高自己的技术水平，那还是放弃这种“治本不治标”的心态吧。

                                                                                                                                                          16:27 2006-2-14

发表于 @ 2006年02月14日 19:27:00|评论(loading...)|编辑