前言
3月9号,我在某个诡异的下载网上下载一个ini文件查看器,以为按照老套路只要点普通的线路下载就不会下载到广告插件,结果打开后依然是充满广告插件的安装界面,我本来想着老套路都是用一些浅色小号字体的广告下载的勾选,我只要去掉勾选就可以了,然后仔细检查了一遍界面里没有其他勾选的东西之后就点了安装,一般这种小工具也没多大,看了一眼文件大小也没感觉有啥异常,结果安完之后就开始自动的下载各种垃圾插件,我一拍脑袋,坏了!好久没见到带广告的安装器,大意了,现在他们换套路了!里面根本没有选择安装路径的步骤! 我没注意到这点!
然后我手忙脚乱的开始找进程,删文件,忙活了半天之后我点了一下360,打算让它帮我再清理一些漏掉的,结果点了几遍没反应,但我也没太在意,平时还总往出弹东西,现在彻底消停了那就不管他了,接着查资料学习吧。
病毒潜伏期
从那之后的几天内,我的电脑在每次启动时都会弹出一个命令行窗口,命令行窗口名为C:\Windows\System32\wbem\WMIC.exe
上面的窗口里面会自动的执行一段代码,一闪而过,我只看清了一个关键词script,但此时的我还没意识到问题的严重性,还以为那是我最近下载的某个软件的后台服务启动程序,后来才知道确实是一个后台进程启动程序,只不过并不是什么好东西。。。
在最开始的几天内,由于我是在郊区的学校宿舍里,下课后才回来用电脑上网,信号很糟糕,所以平时玩游戏时候出现了卡顿也没在意。
病毒渗入期
在前天3月14号,我再次打开电脑的时候,突然变的巨卡,鼠标都开始不听使唤了,我觉得有些奇怪,耐着性子一点一点挪动鼠标去看一眼任务管理器的时候,看到CPU被占用到100%,内存也爆高,费力的点回到进程窗口,发现有一大堆重复的名为MS_17_010_Scan.exe的进程,这时候再傻的人也应该意识到这特么是个令人蛋疼的病毒跑起来了,然后就去搜索了一圈,大概了解到这个病毒目的应该是利用端口漏洞远程执行代码什么的,这可真令人头大,哪见过这场面,只能先试试能不能先把这个进程关了,把它源程序给删了,折腾了好一会,最后好像是消停了下来。
虽然电脑暂时正常了,但我感觉得用杀软扫一扫,结果呼唤360大大依然失败,软件窗口刚弹出就消失了,我还以为是我好久没用,他自己出了点问题,就又去网上下了最新的版本,在安装界面还没啥问题,但是安装完刚到杀软防护进程启动步骤时,360直接闪退了!!! 我不得不承认,此时我稍微有点慌了,但是这时候已经很晚了,宿舍也停电了,又尝试装了一遍,还是起不来,在网上一顿匆忙的乱搜了一会也没搜到什么有用的信息,而电脑也没电了,没办法,今天只好先作罢了,明天早上还有课,于是去睡觉了。
病毒肆虐期
在第二天3月15号周五晚上,经历一天令人蛋疼的课程之后,拖着疲惫的身体回到宿舍,躺下休息了一会之后,想着打两把欢乐瓜皮的LOL找点乐子,起来开撸!
第一局游戏在欢声笑语中打出了GG,第二局游戏刚开几分钟,我的FPS突然显示为个位数了!并且在十几二十几之间徘徊,画面极其卡顿完全玩不了了,看了一眼网络延迟,是正常的,我想着可能又有什么鬼东西占用了我的性能,就切出来看一眼任务管理器,结果出现了很诡异的现象,我刚切出游戏界面回到桌面查看性能监控的窗口时,CPU从100%瞬间掉回到正常百分比(tip:本人电脑系统是WIN7只能看到CPU和内存性能监控,win10应该可以同时看到CPU和GPU被跑满了),于是我又重复了好几遍这个操作,发现每一次都是这样,而此时我的电脑即使关掉游戏也开始卡顿,于是打算重启一下试试。
重启之后,在桌面不再卡顿恢复了正常状态,而进入游戏时卡顿的现象又出现了,这时候我开始意识到问题的严重性了,但是我的第一个推测将我引导向了显卡驱动是否出现问题上,在我刚准备开始搜索显卡驱动相关的问题时,我感觉问题应该没那么简单,最近在我电脑上出现的种种异常现象让我认为我现在应该首要进行排查的问题不是显卡本身的问题,而是那个每次开机都会弹出的诡异窗口!(为啥我现在才想到这个啊)
病毒查杀阶段
既然决定好了开始排查的起点,就开始一步一步的进行信息的搜索收集和整理分析。
我先是搜索了解了一下WMIC.EXE到底是什么东西。
看上去它本身只是WIN系统自己的组件,并不是病毒本体,去文件夹里看了一眼,文件信息都是正常的官方文件,就先别乱删了。
在后续的浏览中偶然发现了一篇博客,在这里对博客的转载者ProjectDer 和原作者 有价值炮灰 表示感谢!
原文链接:http://www.cnblogs.com/pannengzhi/p/windows-self-check.html
CSDN链接:https://blog.csdn.net/qq_33020901/article/details/78891938
于是乎我根据博客中内容,进行了我目前能实际操作和观察结果的方法去查找了注册表(tip:WIN+R,输入regedit)中的相关路径,果然有了发现!
发现系统自启项中出现了以我的计算机名“RENEXTONPC”命名的诡异的键,而在值里面的代码段出现了之前在一闪而过的WMIC.EXE命令窗口中的代码段里的script关键词,直接锁定是这个启动项搞的鬼。
看出来这是利用了系统的组件创建进程去新建了一个VBS脚本,(tip:VBS脚本我就没见过有几个拿来干正经事的,包括我自己,噗~)
复制目录顺藤摸瓜。
刚开始排查时还偶然发现一个EXE文件,然后看一眼日期,3月9号也就是刚中招的那天进到电脑里来的病毒文件,用记事本打开看看里面。
脚本只有简单两句,创建wscript.shell对象,然后运行病毒的EXE程序,但是重点是后面还带了一个参数-LNK4258,就是接下来信息搜索的关键。
进入CNVD国家信息安全漏洞共享平台发布的一篇周报搜寻有用的信息。
直接搜索这个关键词LNK4258结果中有太多杂乱干扰信息,加上病毒俩字试试。
看到文章简介中的代码段和我电脑上的脚本几乎一模一样,
对黑客技术交流社区
微步在线威胁情报社区https://x.threatbook.cn/
以及博客匿名作者表示感谢!
原文链接:https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=1121
已经可以敲定是中了挖矿病毒,CPU和GPU性能被占用跑满的原因也就知晓了,这小本子上的Nvidia GF 920M也被拉起来挖矿可真是难为他了。。。
接下来就是病毒文件都在哪?怎么清?
于是我接着往下浏览了这篇博客,在评论区中发现了其他用户评论的重要信息。
对情报社区的技术大佬们表示感谢!
对毒霸安全团队以及微信公众号安全豹表示感谢!
文章链接:https://mp.weixin.qq.com/s/4Q2Z2ryfJbzXQB5xmzM0iA
永恒之蓝则是让我提起了精神,才知道MS_17_010_Scan.exe就是永恒之蓝的扫描程序。
病毒还有通过横向传播的能力,还好我用的手机热点,要是让他传播开就不好玩了
挖矿行为和对抗杀软的特征描述让我确定了中的病毒就是这个最近被发现的 “匿影” 病毒
然后观察这个流程图了解到需要消灭的病毒文件
svchost.exe
nvidia.exe
taskuost.exe
x64.dll
chrome.exe(tip:流程图里可能写错了,也许是和下面的“chromme.exe”一样的)
lasss.exe
kuaizip.ini
kuaizipUpdateChecker.exe
retboolDriver.sys
chromme.exe
以及启动服务项kuaizipUdate
一众国内知名常用的杀软全被这个病毒按地摩擦,这也是下载了好几个杀软都打不开的原因了。
首先是删掉伪装的kuaizipUpdate服务启动项(tip:WIN+R,services.msc),需要通过命令行彻底删除。
删除服务
可能每台电脑中毒的情况都有些差别,跟解决方案中的流程会有出入。
在清除的时候还发现了一个伪装的nvidia.exe文件,还有一个把我给骗过去的伪装成火狐浏览器系统文件的flrefoxDriver.sys!!!
因为我平时用的最多的就是火狐浏览器,居然把它当成正常的文件了
firefoxDriver.sys——>flrefoxDriver.sys
chrome.exe——>chromme.exe
lsass.exe——>laass.exe
有时候还真就能骗到人!
所以建议是将所有的Temp文件夹下的文件全部清除
Temp文件夹存放的都是临时文件,所以没事的,放心删
并没有在这个目录下找到病毒生成的伪装文件svchost.exe,先放一边
来到ProgramData文件夹,病毒相关文件都删除。
然后dll文件夹,眼熟的x64.dll,带走
本来到以为结束了,但是杀软依旧起不来,又尝试下载安装电脑管家,ESET,安装过程没问题,结果全都死在了安装完成后的服务启动阶段,重启之后还是这样,又重新检查一遍,结果又出现了,而且删掉就马上又复制出来,之前的几个进程又跑了起来,甚至还多了几个没见过的!
在进程中被我发现了一个smyy.exe的诡异进程,报告文章中也没有提到过,于是我就直接整个搜索了一遍C盘,结果发现相关的是一个 .pf 预读文件,我便推测可能现在我没有找出来的那些进程的程序可能是依赖这些预读文件运行的,不过这个想法很可能是错误的,预读文件只是在程序启动时加快启动速度的资料,类似存档一样的东西,并没有主动性,但是我还是直接清空了所有的预读文件。
在删除的过程中还是看到了眼熟的“老熟人”。
当我还在一脸懵逼的想着接下来怎么搞的时候,我顺着一个伪装失败的chromcpu.exe进程找到了一个在ProgramData文件夹下冒出来的a文件夹,(这名字起的够随意的),打开里面的 .bat批处理文件一眼就发现了那个之前在报告中见过的 矿池地址,
很显然这就是挖矿脚本了,就是他们在吃CPU和GPU的性能,获取了有用的信息之后,他们就没用了,直接删除。
但是于3月15号的线索推进也只到这里了,此时已经到了凌晨2点多,电脑早就处于自动关机的边缘,很是郁闷的看着电脑自动关机后也是困的不行了,回到床上睡觉了。
病毒的查杀阶段:续
博客写到这里的时候已经是今天的3月17号了,也许是我表达想法思路的时候废话也比较多,昨天并没有写完,哈哈,不过这些确实都是我脑内的想法流程,那么我们继续。
昨天也就是3月16号周六快中午的时候,我才迷迷糊糊的起床准备接着死磕这个病毒,在前一天晚上睡觉前已经在纸上写好了今天准备进行搜查的思路,于是乎,在病毒残留程序依然在不停自我生成,删除不掉的同时还不停的杀死杀软进程,令杀软无法启动的情况下,我决定进入安全模式准备跟病毒背水一战,其实我早就应该进行这一步操作,不过我太过小白,见识太少,小看了编写病毒的大佬的手段,被按地摩擦教育了一波。。。
好了不多说重新整理思路,进入安全模式开机后,我什么都没点,只是坐在电脑前大脑内疯狂的运转从一大堆整理好的信息中搜寻有用的关键词,过了一会之后我顿然醒悟,既然他在不停的杀死杀软的进程,而其他文件被删除掉后也还能被某个藏在某处的病毒残留文件重新生成,那么也就是说这个能杀死杀软进程的程序才是关键!!!
有了突破点那就迅速的定位到我们前面在病毒的文章报告中整理出来的病毒文件名称,针对杀软进程的那个就是retboolDriver.sys,太好了,终于能进行下去了!
于是我马上在C盘中直接全盘搜索这个文件名,看看是不是哪里有遗漏掉没删的文件路径,但是结果令人失望,重复试了几次不同精确度的关键词,并没有找到。
然后我又在百度乱搜了一圈有关服务进程的东西,并没有找到有用的信息,于是我又回到注册表,看看之前删掉的启动项有没有重新创建出来,令人庆幸的是还好没有,这个病毒由于我前一天的一顿狂删,有些功能已经不完整了,此时我突然想起来:注册表也是有搜索功能的啊!!! 我的智商真是令人捉急,拍了拍脑门,直接搜索关键词retbool结果果然有了突破性的发现!
就是这个注册项了!看下他的注册表路径,果然是跟本地的服务进程相关的!
然后我又看到了值里面熟悉的路径,我一脸懵逼的想了想,那个文件不是已经删了么,再次检查的时候他也没再次出现在这个路径下啊?
于是充满疑惑的回到了那个路径下。。。
我TM。。。这就是前文那个步骤中病毒报告提供的解决方案里没有提到的那个被我忽略掉的伪装文件,firefoxDriver.sys——>flrefoxDriver.sys
哎,蛋疼,,,我发现了并去删除了谷歌浏览器的伪装文件,却忽略了火狐浏览器也可能被作为伪装文件!其原因都是自己太过依赖于那篇病毒报告的文章了,都失去了自己的判断能力。
病毒的手动清除:终
于是开始果断的删除这些残留文件以及继续搜索关键词出现的注册表残留,其中注册表残留还有一些无法删除的项目LEGACY_RETBOOL,不过看了一下发现似乎是用来创建retbool服务进程对象的,我把源文件都删了他也没得创建启动了,也就暂时先不管了。
漏洞修补和端口封闭
在搞定这些东西之后,在安全模式下运行起来了360,缓慢的检测了一圈C盘,检测出了那些顽固的病毒文件并且清除掉,然后下载安装了系统安全漏洞补丁,重启电脑回到正常模式,我手心都紧张的捏了一把汗,这次开机要是还是不行,我就真的没有办法了,只能格盘重装系统了,不过还好我们的360,腾讯安全管家,ESET刚开机就全都一股脑的跳出来争先恐后的告诉我电脑的开机时间,一时间我似乎感觉像是好几个背着我出轨的女人回来跟我认错一样,像我这么温柔的人当然是选择卸载她啦,非常轻车熟路的卸载完之后,又打开进程管理器检查了一圈,没有再发现可疑的进程,检查一圈文件路径,没有发现可疑文件,杀软可以正常运行,打开游戏帧数恢复正常,不再出现卡顿,自此病毒算是清除完毕了。
最后要进行的就是端口封闭,阻止这类病毒通过端口漏洞远程入侵,那么怎么操作呢?百度啊!
CMD检查135,137,138,139,445端口是否已开放
如果是LISTENING状态的话,可以通过组策略>创建IP筛选器来封闭端口,具体的操作在这里就不多做赘述了,相关可以查询百度。
总结
病毒表现状态: 每次开机时都会出现窗口C:\Windows\System32\wbem\WMIC.exe执行一段代码一闪而过,电脑在某时刻突然卡顿到鼠标移动时都出现掉帧,3D类游戏运行时帧数远远低于平时状态,CPU性能和GPU性能跑满,但是一旦切出游戏窗口又恢复到较低的占用率,推测是触发了显卡驱动运作时才会启动病毒的使用GPU性能挖矿行为。
病毒服务启动项: kuaizipUpdateChecker
可疑进程名称:
cegacy.exe
chromcpu.exe
chromme.exe
kuaizipUpdateChecker.exe
lasss.exe
laass.exe
MS_17_010_Scan.exe
nvidia.exe
retboolDriver.sys
smyy.exe
x64.dll
可疑文件路径:
C:\Windows\Temp全部清空
C:\ProgramData除文件夹外的零散文件全部清除
C:\ProgramData\Microsoft除文件夹外的零散文件全部清除
删除C:\ProgramData\storage目录
删除C:\ProgramData\Resources目录
删除C:\ProgramData\a目录
删除C:\ProgramData\dll目录
C:\Documents and Settings\Public删除目录下所有可疑的零散文件及文件夹
删除C:\Users\Administrator\AppData\Roaming\以本计算机名命名的.vbs脚本
删除C:\Users\Administrator\AppData\Roaming\以本计算机名命名的目录
注册表检查路径:
自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceEx
服务启动项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\retbool
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\retbool
漏洞修补,端口封闭:
使用杀软修补系统安全漏洞
组策略封闭135,137,138,139,445端口
后记
本次手动杀毒共历时两个晚上,病毒潜伏期长达一周,杀软全部崩掉是我长这么大也是头一次见到这么厉害的场景,在排查可疑文件的时候翻到一个python写的脚本,应该是用来给他回传用来监控的数据的,里面的第一行注释在我费劲的挪着光标穿过了一大长串的星号后看到的文字简直就是在嘲讽我,英文翻译过来就是“不要删掉这个,会失去连接的!”我TM。。。
总之技术到用时方恨菜,看看这个病毒,轻车熟路的C++,操作系统调度的精湛理解,win 进程操控注入的信手拈来,端口漏洞远程代码自动执行,自我程序的隐藏和保护,直接秒杀一众杀软的霸气,多种手段的横向传播,声东击西的vbs脚本,掌控数据的python程序,不停变换的矿池地址,全自动零成本的僵尸挖矿,天马行空的创意想法,细思极恐的行动创造力,账户上疯涨的黑金,相比之下我可真是个渣渣,真的见识到那句话的含义了“人外有人,天外有天”,现在就是后悔啊,后悔平时贪玩没死磕钻研技术,真滴后悔? ? ?
这病毒潜伏期长不易察觉,发作时如果硬件够好的只能感觉到有点卡,只有玩游戏掉帧时候才会发现出毛病了,但是一般情况此时大家肯定是先去怀疑显卡是不是出问题了,从而在信息搜寻的最开始就找错了方向,这就是这个病毒瓜皮的地方了,感觉最近又要肆虐起来,希望大家不要跟我一样中招,总之大家都长点心吧,那么一大堆网站的软件下载链接都被重定向到哪去了?下个小工具给我搞个瓜皮病毒出来?蓝瘦。。。(tip:现在的套路已经换了,以后所有的打开后看到有一堆广告安装界面的程序一律都不要安装,上面即使去掉广告的勾选里面准备安装的程序也不是你想要的,马上删除!)
最后
我这个技术小白对于博客的撰写或是对病毒的排查还都处于新手阶段,在记录杀毒过程的时候我也许还有些遗漏的地方,这篇博客的内容或许也有纰漏和错误的地方,希望有大佬能够看到这篇博客提出建议或是指出错误。
在最后对我本次手动杀毒过程提供了各种资料的各大网站和博客文章及其作者们表示衷心的感谢,感谢大家对网络安全防护做出的贡献,让我们共同进步,学无止境!