昨晚下班回家,老爸说机器不行了,总出错。一开机就看到explorer.exe报错,关了,开ie,ie报错,md,肯定是中毒了。注册表看了看,App_inits挂了3个dll: msosdohs.dll msosmhfp00.dll msosmnsf00.dll。于是去c:/windows/system32下搜索之,没有!奇怪。用process explorer.exe查找这3个动态库,都找不到。莫非是永乐rootkit技术的驱动型木马?拿出IceSword,一运行报错,他大爷!换了个名字改成my.exe,运行正常。在一看进程模块信息,果然大部分进程中都有这三个dll。都在windows/system32目录里面。没啥说得了,仅安全模式杀之。
上面是所有找到的样本,分别在c:/windows, c:/windows/system32, c:/windows/system32/drivers以及c:/program files/internet explorer/plugins下面。一个个找出来删掉吧。有几个文件是我在安全模式之前就copy出来了的,因为有文件隐藏的rootkit,所以复制出来以后我在名字中检查入了下划线。_in_drivers表示位置。对应关系为:
m_s_o_s_f_p_i_d_s_32_in_drivers.sys ------------> msosfpids32.sys
m_s_o_s_d_o_h_s.dll------------------------------------->msosdohs.dll
m_s_o_s_m_h_f_p_0_0.dll------------------------------>msosmhfp00.dll
m_s_o_s_m_n_s_f_0_0.dll------------------------------>msosmnsf00.dll
p_o_p_in_drivers.sys--------------------------------------->pop.sys
删完了之后,用SReng之类的工具扫描一下注册表和启动文件,把相关的一大堆键值和服务删掉,总算搞定。
最近忙,没工夫分析这群狗日的是咋干活的了。