为了了解目前流行木马病毒的发展前沿科技,俺也来了个裸机上网。不出三天,机子就感染了N多病毒。这些病毒几乎全部是通过网页木马的方法,侵入到我的
系统。一下子,让俺的爱机变得不堪重负,不得不处理下了。
因所得病毒过多,只选了几个比较有特点的病毒来讲解下。所谓有特点,即能逃过一般杀毒 软件的查杀,文件在windows模式下,甚至安全模式下都不可删除,加载方式隐蔽性高。即使多次处理,病毒也能顽强抵抗到最后一秒。我所选取的两款病毒,就有以上这几个特点。
病毒1.lfrmewrk.exe
该病毒是典型的后门程序,中毒后会时不时弹出网页。中止进程后又会重新启动,删除文件又会重新出现,非常顽固。更有usb8028x.sys,usb8028.sys两个后台类驱动程序作后盾,也有hbcmd.dll动态库文件作支撑。强悍之极。lfrmewrk.exe是病毒的主进程。
该病毒以以下形式注册为系统服务:
服务还以特殊方式隐藏起来,使得你使用services.msc命令也看不见它.隐藏方式:
查找{8ECC055D-047F-11D1-A537-0000F8753ED1}串,得到
也有一款病毒名为d1ac1.exe或b8761.exe之类的。
注册服务名:ms_2fax
机制和它完全一样,可能是同一作者所为。而且两者有共同作案的嫌疑。
病毒2.55550.dll.
把它作为病毒命名,是因为这个东西是 其它几个dll的核心部分。其它几个dll就是*door0.dll之类的动态库文件。文件在windows也不可删。普通杀毒软件查不出病毒。该病毒在各盘还生成windows.scr和autorun.inf两个文件。后者只要关闭了自动播放动能还是比较好处理。
对于55550.dll文件,笔者试途在安全模式下删除,也以失败告终。后找到了它在注册表里的相关项目:
该病毒还在注册表键以下地方留下记录:
清除以上注册键表键,重起 计算机,进入安全模式下,再次删除以上dll病毒文件。一次搞定。
看来,未来的木马病毒,隐蔽性越来越高。不再是以前那种在启动项,启动文件夹或者明显的服务进程里加载了。它们开始把触角伸进了系统底层。而且,绝大部分都会以释放多个病毒体副本,隐藏成设备驱动服务进程,以及在一些注册表特殊的地方注册,以达到保护自身的目的。有些木马病毒而是直接到杀毒软件作为其对手,要么破坏之,要么把它挡在门外,让其无法正常安装。未来的反木马病毒之路,将更加具有挑战性。
因所得病毒过多,只选了几个比较有特点的病毒来讲解下。所谓有特点,即能逃过一般杀毒 软件的查杀,文件在windows模式下,甚至安全模式下都不可删除,加载方式隐蔽性高。即使多次处理,病毒也能顽强抵抗到最后一秒。我所选取的两款病毒,就有以上这几个特点。
病毒1.lfrmewrk.exe
该病毒是典型的后门程序,中毒后会时不时弹出网页。中止进程后又会重新启动,删除文件又会重新出现,非常顽固。更有usb8028x.sys,usb8028.sys两个后台类驱动程序作后盾,也有hbcmd.dll动态库文件作支撑。强悍之极。lfrmewrk.exe是病毒的主进程。
该病毒以以下形式注册为系统服务:
CODE:
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/EmonSrv]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,/
5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,00,66,00,72,/
00,6d,00,65,00,77,00,72,00,6b,00,2e,00,65,00,78,00,65,00,00,00
(即://"ImagePath"=C:/WINDOWS/system32/lfrmewrk.exe)
"DisplayName"="error monitor"
"ObjectName"="LocalSystem"
服务名为:error monitor
服务还以特殊方式隐藏起来,使得你使用services.msc命令也看不见它.隐藏方式:
CODE:
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY_EMONSRV/0000]
"Service"="EmonSrv"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="error monitor"
似乎这样就你设备驱动的形式被保护起来,就算你到安全模式下,也拿它没折。
查找{8ECC055D-047F-11D1-A537-0000F8753ED1}串,得到
CODE:
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Class/{8ECC055D-047F-11D1-A537-0000F8753ED1}]
"Class"="LegacyDriver"
@="非即插即用驱动程序"
"NoDisplayClass"="1"
"SilentInstall"="1"
"NoInstallClass"="1"
"EnumPropPages32"="SysSetup.Dll,LegacyDriverPropPageProvider"
"Icon"="-19"
果不其然,以驱动程序的形式将病毒保护起来了。
也有一款病毒名为d1ac1.exe或b8761.exe之类的。
注册服务名:ms_2fax
机制和它完全一样,可能是同一作者所为。而且两者有共同作案的嫌疑。
病毒2.55550.dll.
把它作为病毒命名,是因为这个东西是 其它几个dll的核心部分。其它几个dll就是*door0.dll之类的动态库文件。文件在windows也不可删。普通杀毒软件查不出病毒。该病毒在各盘还生成windows.scr和autorun.inf两个文件。后者只要关闭了自动播放动能还是比较好处理。
对于55550.dll文件,笔者试途在安全模式下删除,也以失败告终。后找到了它在注册表里的相关项目:
CODE:
[HKEY_CLASSES_ROOT/CLSID/{11DB88F9-409B-475E-8FD7-411653F6D367}/InprocServer32]
@="C://WINDOWS//system32//55550.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT/CLSID/{11DB88F9-475E-8FD7-409B-411653F6D367}]
"ssExeModuleName"="C://DOCUME~1//Sicent//LOCALS~1//Temp//3.exe"
"ssDllModuleName"="C://WINDOWS//system32//55550.dll"
"ssSobjEventName"="ZHGHAKUIQIQOSZT_0"
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{11DB88F9-409B-475E-8FD7-411653F6D367}/InprocServer32]
@="C://WINDOWS//system32//55550.dll"
"ThreadingModel"="Apartment"
这恐怕又是病毒的一种新的加载方法。进程下不可见,服务里也没有记录,隐蔽性也够高的了。在正常模式和安全模式下,该文件都不可删,同时,相关的*door0.dll文件也一并不可删。
该病毒还在注册表键以下地方留下记录:
CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{11DB88F9-409B-475E-8FD7-411653F6D367}"="hook is rising1"
该键值可能是用来对付杀毒软件,可见保护机制够全面的了。
清除以上注册键表键,重起 计算机,进入安全模式下,再次删除以上dll病毒文件。一次搞定。
看来,未来的木马病毒,隐蔽性越来越高。不再是以前那种在启动项,启动文件夹或者明显的服务进程里加载了。它们开始把触角伸进了系统底层。而且,绝大部分都会以释放多个病毒体副本,隐藏成设备驱动服务进程,以及在一些注册表特殊的地方注册,以达到保护自身的目的。有些木马病毒而是直接到杀毒软件作为其对手,要么破坏之,要么把它挡在门外,让其无法正常安装。未来的反木马病毒之路,将更加具有挑战性。