新装的winxp ,由于嫌自带的ie5太老,所以在百度上搜索“winxp ie”,然后打开“Internet Explorer 8 for WinXP 简体中文官方版” http://www.skycn.com/soft/30276.html,选择了“河南景安电信下载” http://www.skycn.com/down.php?uri=http://61.153.35.202:82/down/InternetExplorer.zip。然后我又尝试了其他下载点,结果一切正常。那么
为什么从这个下载点上下载的东西是病毒,也就是说该服务器上的文件被替换了,或是遭到域名劫持了??
在下载时,看到InternetExplorer.zip只有164K,觉得有点奇怪,但是没有太仔细看。下载完后,就直接打开了。
结果,呵呵,中奖了。
每个几分钟就弹出广告页面,每个分区根目录之下都生成了autorun.inf和w3wp.exe。在windows和system32文件夹下生成了pagefile.exe和w3wp.exe,构成双进程,互为守护进程,以确保木马的正常运行。
同时,还修改了hosts文件,将360等网站的ip指向本机(127.0.0.1),将一些常用的网站,如百度,腾讯等ip全部指向一个ip,显然是用来获取点击的。
另外,在打开360等的安装文件时,马上被终止。
我的IceSword(冰刃)是以压缩包的形式保存的,在解压时,直接被木马删去了主应用程序IceSword.exe,只剩下Cooperator.zip、FileReg.chm、FileReg.icp、IceSword.chm、readme.txt。
无法运行。
文件夹选项中的“隐藏系统文件”和“显示隐藏文件”选项直接被屏蔽,不显示了。
<blockquote>autorun.inf的内容如下:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=w3wp.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=w3wp.exe</blockquote>
可以看到,在打开分区时,会调用w3wp.exe来打开。
然后,无奈了,杀软打不开,装不上,杀毒网站打不开,专杀和急救箱工具是不用想了,怎么办?怎么办?
多亏我平时没事喜欢下载些莫名其妙的软件,找到个ESET SysInspector,打开,木有问题,可以打开,哈哈。这个就说明这个木马的数据库不够全面,等我啥时候做木马了,就专门建个服务器,不断更新各种数据,让我的小马没事多和服务器沟通下,呵呵。
查看进程信息,看到pagefile.exe和w3wp.exe这两个进程比较可疑,查看路径,windows下的,扯淡嘛,pagefile这不是页面文件吗,啥时候转行做应用程序了?
转到所在文件夹,查看详细信息,恰好是在我运行InternetExplorer.zip那会儿生成的,那么,同时选中两个,果断结束。好了,世界清静了…..
接下来,安装360,虽然360安全卫士不是一般的烂,但是有时候当做个小工具集合还是凑合的,安装完毕,修复系统,修复hosts文件,删除木马文件。
好的,重启。
不幸的是,木马依然自启动了
360查杀,同时,手动搜索,条件:时间,今天,大小,小于100k,搜索到三个pf文件。
PF文件:预读取文件
在Windows XP及其以后的操作系统中,增加了预读取功能(也可以理解为“预先
装载”),该功能可以提高系统的性能,加快系统的启动、文件读取的速度。
预读取文件保存在%systemroot%\Prefetch目录中,以*.pf为扩展名
这些*.pf文件包括了载入文件的详细信息和载入顺序
为提高Windows 和程序的启动速度,即让系统不自动产生.PF文件,需要禁用 Windows XP Prefetcher 组件。
果断删除,好了,再没有什么w3wp.exe了。
但是,还有个问题, 在我电脑联网时,每隔几分钟会自动打开网页,这个没有解决,求大神援助!!
就特么这么被人坑了,不是咱的作风!
打开虚拟机,打开regmon和filemon,打开之前留作标本的木马文件w3wp.exe,监控木马运行动作。
<blockquote>这是filemon的部分记录,自己看吧
31840 19:22:35 w3wp.exe:164 IRP_MJ_CLEANUP C:\WINDOWS\system32\SHELL32.DLL SUCCESS
31841 19:22:35 w3wp.exe:164 IRP_MJ_CLOSE C:\WINDOWS\system32\SHELL32.DLL SUCCESS
31842 19:22:35 w3wp.exe:164 FASTIO_QUERY_OPEN C:\Documents and Settings\Administrator\桌面\w3wp.exe.Local\ NOT FOUND Attributes: Error
31843 19:22:35 w3wp.exe:164 FASTIO_QUERY_OPEN C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS Attributes: D
31844 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS Options: Open Directory Access: 00100020
31845 19:22:35 System:4 IRP_MJ_QUERY_INFORMATION C:\WINDOWS\system32\comctl32.dll SUCCESS FileNameInformation
31846 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll SUCCESS Options: Open Access: 001200A9
31847 19:22:35 w3wp.exe:164 FASTIO_QUERY_STANDARD_INFO C:\WINDOWS\system32\comctl32.dll SUCCESS Length: 617472
31848 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll.124.Manifest NOT FOUND Options: Open Access: 001200A9
31849 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll.124.Config NOT FOUND Options: Open Access: 001200A9
31850 19:22:35 w3wp.exe:164 IRP_MJ_CLEANUP C:\WINDOWS\system32\comctl32.dll SUCCESS
31851 19:22:35 w3wp.exe:164 IRP_MJ_CLOSE C:\WINDOWS\system32\comctl32.dll SUCCESS
31856 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL SUCCESS Options: Open Access: 001200A9
31857 19:22:35 w3wp.exe:164 FASTIO_QUERY_STANDARD_INFO C:\WINDOWS\system32\WININET.DLL SUCCESS Length: 651264
31858 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL.123.Manifest NOT FOUND Options: Open Access: 001200A9
31859 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL.123.Config NOT FOUND Options: Open Access: 001200A9
这是regmon的部分记录
95577 239.78285217 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95578 239.78358459 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95579 239.78361511 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95580 239.78437805 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data BUFFER OVERFLOW
95581 239.78536987 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data SUCCESS 00 00 00 00 5C 00 5C 00 ...
95582 239.78546143 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS
95583 239.78771973 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95584 239.78884888 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95585 239.78999329 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95586 239.79003906 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Generation SUCCESS 0x1
95587 239.79133606 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS
95588 239.79537964 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95589 239.79650879 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95590 239.79765320 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95591 239.79768372 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data BUFFER OVERFLOW
95592 239.79881287 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data SUCCESS 00 00 00 00 5C 00 5C 00 ...
ue</blockquote>
在下载时,看到InternetExplorer.zip只有164K,觉得有点奇怪,但是没有太仔细看。下载完后,就直接打开了。
结果,呵呵,中奖了。
每个几分钟就弹出广告页面,每个分区根目录之下都生成了autorun.inf和w3wp.exe。在windows和system32文件夹下生成了pagefile.exe和w3wp.exe,构成双进程,互为守护进程,以确保木马的正常运行。
同时,还修改了hosts文件,将360等网站的ip指向本机(127.0.0.1),将一些常用的网站,如百度,腾讯等ip全部指向一个ip,显然是用来获取点击的。
另外,在打开360等的安装文件时,马上被终止。
我的IceSword(冰刃)是以压缩包的形式保存的,在解压时,直接被木马删去了主应用程序IceSword.exe,只剩下Cooperator.zip、FileReg.chm、FileReg.icp、IceSword.chm、readme.txt。
无法运行。
文件夹选项中的“隐藏系统文件”和“显示隐藏文件”选项直接被屏蔽,不显示了。
<blockquote>autorun.inf的内容如下:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=w3wp.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=w3wp.exe</blockquote>
可以看到,在打开分区时,会调用w3wp.exe来打开。
然后,无奈了,杀软打不开,装不上,杀毒网站打不开,专杀和急救箱工具是不用想了,怎么办?怎么办?
多亏我平时没事喜欢下载些莫名其妙的软件,找到个ESET SysInspector,打开,木有问题,可以打开,哈哈。这个就说明这个木马的数据库不够全面,等我啥时候做木马了,就专门建个服务器,不断更新各种数据,让我的小马没事多和服务器沟通下,呵呵。
查看进程信息,看到pagefile.exe和w3wp.exe这两个进程比较可疑,查看路径,windows下的,扯淡嘛,pagefile这不是页面文件吗,啥时候转行做应用程序了?
转到所在文件夹,查看详细信息,恰好是在我运行InternetExplorer.zip那会儿生成的,那么,同时选中两个,果断结束。好了,世界清静了…..
接下来,安装360,虽然360安全卫士不是一般的烂,但是有时候当做个小工具集合还是凑合的,安装完毕,修复系统,修复hosts文件,删除木马文件。
好的,重启。
不幸的是,木马依然自启动了
360查杀,同时,手动搜索,条件:时间,今天,大小,小于100k,搜索到三个pf文件。
PF文件:预读取文件
在Windows XP及其以后的操作系统中,增加了预读取功能(也可以理解为“预先
装载”),该功能可以提高系统的性能,加快系统的启动、文件读取的速度。
预读取文件保存在%systemroot%\Prefetch目录中,以*.pf为扩展名
这些*.pf文件包括了载入文件的详细信息和载入顺序
为提高Windows 和程序的启动速度,即让系统不自动产生.PF文件,需要禁用 Windows XP Prefetcher 组件。
果断删除,好了,再没有什么w3wp.exe了。
但是,还有个问题, 在我电脑联网时,每隔几分钟会自动打开网页,这个没有解决,求大神援助!!
就特么这么被人坑了,不是咱的作风!
打开虚拟机,打开regmon和filemon,打开之前留作标本的木马文件w3wp.exe,监控木马运行动作。
<blockquote>这是filemon的部分记录,自己看吧
31840 19:22:35 w3wp.exe:164 IRP_MJ_CLEANUP C:\WINDOWS\system32\SHELL32.DLL SUCCESS
31841 19:22:35 w3wp.exe:164 IRP_MJ_CLOSE C:\WINDOWS\system32\SHELL32.DLL SUCCESS
31842 19:22:35 w3wp.exe:164 FASTIO_QUERY_OPEN C:\Documents and Settings\Administrator\桌面\w3wp.exe.Local\ NOT FOUND Attributes: Error
31843 19:22:35 w3wp.exe:164 FASTIO_QUERY_OPEN C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS Attributes: D
31844 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS Options: Open Directory Access: 00100020
31845 19:22:35 System:4 IRP_MJ_QUERY_INFORMATION C:\WINDOWS\system32\comctl32.dll SUCCESS FileNameInformation
31846 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll SUCCESS Options: Open Access: 001200A9
31847 19:22:35 w3wp.exe:164 FASTIO_QUERY_STANDARD_INFO C:\WINDOWS\system32\comctl32.dll SUCCESS Length: 617472
31848 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll.124.Manifest NOT FOUND Options: Open Access: 001200A9
31849 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll.124.Config NOT FOUND Options: Open Access: 001200A9
31850 19:22:35 w3wp.exe:164 IRP_MJ_CLEANUP C:\WINDOWS\system32\comctl32.dll SUCCESS
31851 19:22:35 w3wp.exe:164 IRP_MJ_CLOSE C:\WINDOWS\system32\comctl32.dll SUCCESS
31856 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL SUCCESS Options: Open Access: 001200A9
31857 19:22:35 w3wp.exe:164 FASTIO_QUERY_STANDARD_INFO C:\WINDOWS\system32\WININET.DLL SUCCESS Length: 651264
31858 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL.123.Manifest NOT FOUND Options: Open Access: 001200A9
31859 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL.123.Config NOT FOUND Options: Open Access: 001200A9
这是regmon的部分记录
95577 239.78285217 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95578 239.78358459 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95579 239.78361511 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95580 239.78437805 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data BUFFER OVERFLOW
95581 239.78536987 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data SUCCESS 00 00 00 00 5C 00 5C 00 ...
95582 239.78546143 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS
95583 239.78771973 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95584 239.78884888 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95585 239.78999329 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95586 239.79003906 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Generation SUCCESS 0x1
95587 239.79133606 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS
95588 239.79537964 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95589 239.79650879 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95590 239.79765320 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95591 239.79768372 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data BUFFER OVERFLOW
95592 239.79881287 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data SUCCESS 00 00 00 00 5C 00 5C 00 ...
ue</blockquote>
1681
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
