掐住吃内存大虫的喉咙——find.execmd.exeRar.exe病毒

我们都听说过,贝多芬“掐住命运的喉咙”这句响亮而霸气的话语。最近,本想开始写日志的时候,一个“大虫”挡在我的前面——find.execmd.exeRar.exe病毒,笔记本装的XP,这三个进程反复开启,每次开机之后不到5秒系统就停止了动作了。我不想跟这条大虫纠缠,就索性直接GHOST了,然而没想到,恢复后,立刻死灰复燃,用另一设备查看网络上说明,都是说无法杀掉。无奈啊,我机器上那么多资料加优盘上那么多的文件都感染了(大概500G),于是抄起家伙,我要掐住这无聊大虫的喉咙。

查看网络上对该病毒的解法,大致是:删掉所有的.exe,或者格式化所有盘符。OH,GOD,我的那么多资料啊。不可行。我决定自己搞。

插入一些话:我真的很鄙视这帮制造病毒的家伙,许多病毒都没什么技术含量,纯属给国内的杀毒软件充数而已,有人甚至怀疑这些病毒就是杀毒软件制造商释放的(怀疑而已),病毒制造者们,能否出点新意,像CIH那样的病毒,似乎好多年都没见了,这些躲猫猫的玩意,真的很无趣。

XP没有死机之前,我启动了任务管理器,看到了一堆的find.execmd.exeRar.exe,还没来得及操作,机器就死机了。

 

转入正题:如何破解这个病毒的反复扩散吃完内存的怪圈呢?

因为XP正常启动是一会就死,那就进安全模式吧。

还好安全模式进入了,启动跟踪工具,跟踪得到如下信息:

 

红色框内的信息是有问题的,这类东西不应该出现,特别是注意到:

该病毒已经关联到svchost.exe中和msinfo32.exe系统文件了。

检查启动组:

启动组还算正常,这两个圈住的desktop.ini,一直都有,这也是个小型的后门程序,我一直没有管它。我曾开发一个专门杀它的专杀程序,这次看到了还是一并解决到底吧。

 

看到这一步,我首先决定手动删除:find.exeRar.exe(跟踪地址显示器为winRar.exe,因此我怀疑所有的.rar可能被感染)。Cmd.exe不能删,cmd.exe是应该只是执行了某些指令,是一个桥梁,这个不需要删除。然后看病毒如何应对该情况。

 

找到find.exe查看文件:

第一步尝试处理:

删除:c:\windows\system32\find.exe

卸载 winRar

重启机器。

 

正常进入XPCTRL+ALT+DEL手动打开任务管理器,虽然没有出现find.exe,机器仍然在数秒内死机。

所以,应该有其他程序嵌入运行,重新进入安全模式。

使用工具重新检查启动项,没有发现关联的启动项目,但是仔细再次看这些启动监视记录:

发现如下可疑的启动进程。

.tmp文件结尾一般为临时文件,很显然这些文件的名字非常奇怪也很好辨认,根据其与svchost.exe的关联,可以发现这些.tmp文件是在使用svchost.exe运行一些系统命令(例如创建进程和文件一类的命令),.tmp文件一般是为某些进程单独服务的,可以认为这是一种“注入”手法(我个人认为),可以断定这些.tmp也是非常关键的,那么找到多少删除多少,看它怎么办。

删除所有能够找到的.tmp

然而这次只找到少量的.tmp,没有找到hrl12.tmp这类命名的文件。

我删除这些后,正常重启xp,仍然数秒后死机,很沮丧,到底是什么原因?如果这些病毒已经到达驱动级别,我检查服务以及驱动联系是很繁琐的,所以我认为可能未删干净。

 

再次回到安全模式下,重新执行查找:

终于找到以hrl命名的tmp,就是它们果断删除。

 

这里思考为什么两次才能够删除,而后才不发作呢,我们会自然有疑问:思考如下>>>目前我们只知道这是一种注入式的执行程序。没有其他线索,因此应当继续挖掘。 

 

重启回到正常XP模式下,机器刚开始顿了一下,然后并没有像往常一样死掉,欢呼,但是我知道所有的文件里面一定存在病毒残余。于是开始清除残余工作。

启动更高级的监视程序,发现在内核模块中有一个DLL被广泛引用:

Lpk.dll   

lpk.dll在许多目录下均存在,初步判定为病毒。卸载该内核模块。

 

使用工具,对系统进行优盘免疫(新装的系统,还没有进行免疫)。

 

尝试将优盘接入,在根目录下显示所有文件(使用自己编写工具强制显示隐),并没有看到lpk.dll

 

此时颇为疑惑,然而一旦启动某个.exe文件,立刻在内核模块中发现lpk.dll产生,因此判断在.exe中有某种绑定关系。

 

那么交给杀毒软件吧,安装免费版的KV3000,然后升级至最高版本,一会功夫,杀完了所有该病毒,查看清单,一大串的lpk.dll,以及一些残留木马(该病毒不仅占内存,而且主动从网上下木马,我的机器是联网的)。

 

这里思考为什么两次才能够删除呢:我们知道这是一种注入式的执行程序。而且是依靠动态链接库实现的与.exe文件绑定,只有在执行被感染.exe文件的时候,这些.tmp文件才会被创建,也就是说这种.tmp的生存周期是有限的,甚至是“碰巧激活”的(因为受感染的文件是你当时不确定的,你激活了哪个也是不确定的)。 

OK,至此,掐住了该大虫的喉咙,后斩断之,到此结束。希望网友们都可以搞定该病毒,没有想象那么可怕。

版权声明:本文为zdcaolei原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/zdcaolei/archive/2012/03/19/2405359.html