追杀sfc008木马

最新推荐文章于 2018-11-12 20:56:23 发布

hongweigg

最新推荐文章于 2018-11-12 20:56:23 发布

阅读量2.8k

点赞数 1

分类专栏： Safe

本文链接：https://blog.csdn.net/hongweigg/article/details/8453127

版权

Safe 专栏收录该内容

5 篇文章 0 订阅

订阅专栏

下了个飞秋等几个小软件，没想竟然中毒了。

一、病毒特征

1、机器变得非常的慢，IE网页首页被自动定位到一个网站：

http://www.sfc008.com/?ie98-WZ

（编者注：如果是这个网站利用木马病毒做宣传，真实卑鄙之极，人人得而诛之）

2、同时桌面上出现了几个IE超级链接，如“淘宝购物”、“好看电影”,"Internet Explorer"等5个。直接删除删除不掉。

3、同时在c:\windows\system32下产生两个文件夹，文件夹名不规则：qfdpiaebbu，todqcgshvk，内各放一explore.exe和smss.exe木马文件。

c:\EEQQ，包含两个病毒文件：EEQ.exe，QQE.exe。

4、机器上的文件夹被隐藏，同时创建与该文件夹同一名称的木马文件，该木马文件图标为文件夹样式，但不显示扩展名，外观上和原有被冒充的文件夹一模一样。但若点击该木马文件则病毒文件得以运行，其巧妙之处除了偷梁换柱之外，点病毒文件亦能打开对应文件夹，不仔细看很容易被迷惑住。例如：

原有X目录：

文件夹A、文件夹B

病毒做手脚后，X目录文件分布：

文件夹A、文件夹B 注：设置隐藏属性，若文件夹选项设置为不显示隐藏文件，则该原文件夹不可见。

文件夹A.exe、文件夹B.exe 注：产生与原有文件夹同名称的木马病毒文件，但可执行文件的扩展名被隐藏。

5、病毒文件大小为86557。

6、资源管理器搜索功能被屏蔽，点搜索，搜索面板一片空白，真叫人欲哭无泪。

二、手工清除办法

1、使用ICESWORD 等杀毒工具，在进程中杀掉c:\windows\system32\qfdpiaebbu\explore.exe，c:\windows\system32\todqcgshvk\smss.exe进程；接着清除c:\windows\system32\qfdpiaebbu\explore.exe，c:\windows\system32\todqcgshvk\smss.exe文件，c:\EEQQ目录。

2、让exe文件的扩展名总是显示，方法如下：

打开注册表编辑器，在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe)，选中exefile，在右边窗口空白处点右键，选择“新建→字符串值”，设置名称为AlwaysShowExt，然后重启explorer即可。反之，如果设置名称为NeverShowExt，就可以让exe文件扩展名从不显示。

3、删除木马自启动设置：

1) 删除注册表中的自启动项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，木马设置了机器重启动后对各种杀毒软件的剿杀；

2)开始菜单-》启动内的链接

以上操作均使用ICESWORD工具进行

4、使用工具剿杀假冒病毒文件。病毒特征为可执行文件，大小为86557，利用该特征可以做一小程序扫描系统中所有的文件夹，找到病毒文件后执行删除。一般程序员均可以自己试试，编写一个扫描、查杀工具。先遍历文件夹，发现为可执行文件后，检测大小是否为86557，若是则删除，然后递归执行。

这里附一个用Perl脚本写的查杀工具，可修改查杀路径：变量$path1

use File::stat;

print "Scan starting ...\n";

my $path1="L:\\";
deleteit($path1,"*");


sub deleteit{
  my $path = $_[0];
  my $ext = $_[1];
  chdir($path);
  if(my @name=glob("$ext")){
  	#print "test is ok!find ".@name."Files.\n";
  	my $item;
  	foreach $item(@name){
  	  $_ = $item;
  	  if(-d $item){
  	    print ">>>$path\\$item\\\n";
  	    &deleteit("$path\\$item\\","$ext");
  	    chdir($path); #The most key line, recover the old work directory
  	  } elsif(-x $item){
  	  	my $fileinfo = stat($item);
  	  	my $size = $fileinfo->size;
  	  	print $size;
  	  	if($size == 86557){
  	    	  print $item,"<executable>?\n";
  	    	  system("del -f \"$item\"");
  	        }
  	  }

    }
  }

}

Perl运行环境下载地址：http://downloads.activestate.com/ActivePerl/releases/

5、资源管理器搜索功能恢复

在开始-》运行中执行 regsvr32 jscript.dll，然后杀掉explore.exe进程，重新启动C:\WINDOWS\explore.exe进程即可。

6、桌面图标的清除

使用ICESWORED工具清除，找到C:\Documents and Settings\All Users\桌面和C:\Documents and Settings\<当前用户名>\桌面目录，清理病毒连接。

在管理模板》控制面板》显示》隐藏“桌面”选中项卡，点自定义桌面按钮-》桌面项目面板-》常规-》点现在清理桌面按钮，然后在要清理的项目名称前打勾，不需要清理的去掉勾，按向导提示完成即可。

三、结语

1、注意：在中毒后，文件夹不能随便点击，以免误执行病毒文件；桌面上的Internet Explorer图标也不要点击。

2、希望杀毒专业人士对该病毒做更进一步分析，提出完善的查杀方案和简单的操作方法和查杀工具，以清除病毒，打击木马营销者的嚣张气焰。