记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

首页锁定病毒的手杀处理技巧

2013-02-18 12:40
一些网站为了做推广,不惜捆绑一些小的游戏软件或系统软件,通过修改系统浏览器主页的方法来给网站带来流量。本例讲解的就是一个国外锁定系统首页的病毒样本案例。

此病毒应该是一个外国病毒样本,也是和国内一样,通过修改用户计算机首页来进行网站推广。今天我们就来看一下,老外锁定首页病毒是如何来更改首页的,运用到了哪些手段。

病毒现象

病毒程序伪装成IE图标,如图1所示,双击运行病毒程序1.exe,弹出一个对话框,上面都是看不懂的外文如图2所示,点击确定按钮,看一下这个病毒后续是否还有什么动作。

图1:伪装成IE图标的病毒样本

图2:运行病毒弹出一个中外文结合的对话框

点确定后,弹出一个倒计时重启系统的窗口?看来这个病毒应该是用shutdown-r命令来整个倒计时重启系统提示,如图3所示,

图3:弹出系统倒计时重启窗口

重启系统过程中,又弹出一个外文对话框如图4所示,点击确定按钮,系统才能继续启动。

图4:系统重启过程中弹出外文对话框

进入系统后,系统桌面无法显示,只有开始菜单及系统任务栏,如图5所示。自动打开IE浏览器,访问网站址http://www.webfmdr.com/B/,如图6所示。

这个病毒应该是禁用了系统的explorer.exe,使得开机无法显示桌面,其次,病毒还将IE浏览器修改为http://www.webfmdr.com/B/。

图5:系统桌面无法显示

图6:主页被修改为http://www.webfmdr.com/B/

试着关闭这个IE窗口,发现无法关闭,并提示:“由于该计算机受到限制,本次操作已取消,请您与管理员联系。”,如图7所示,这显然是又一条病毒行为,限制关闭被修改的IE浏览器窗口。

图7:IE首页被修改,且窗口无法关闭

尝试在internet选项里修改主页试试,internet选项主页修改都变成灰色的了,无法修改,首页的地址指向http://www.webfmdr.com/B/。如图8所示,使用默认页、使用空白页都是灰色的。

图8:internet主页更改为灰色

桌面无法显示,尝试通过任务管理器运行explorer.exe来显示系统桌面,右击任务栏发现任务管理器也让病毒给屏蔽了,灰色无法点击,如图9所示。随后尝试通过开始-运行,进入注册表,发现开始运行和搜索都没有了,如图10所示。这个病毒把所有能用到方法都给屏蔽了。

图9任务管理器为灰色

图10开始菜单运行和搜索都没有

既然开始运行被屏蔽了,直接进入c:\windows\,运行regedit,看是否能运行。进入注册表编辑器,通过注册表编辑器处理上述异常,发现注册表也被禁用了,无法运行,如图11所示。

图11

小结一下病毒行为:

a) 系统启动时会出现一个外文对话框,点确定才能正常进入系统。

b) 此病毒修改IE主页为http://www.webfmdr.com/B/,屏蔽internet选项的主页修改为灰色,使得主页无法修改,且浏览器窗口无法关闭,关闭按钮被屏蔽。

c) 屏蔽系统桌面,使系统桌面无法正常显示。

d) 禁用任务管理器,使得用户无法查看系统是否有可疑进程。

e) 屏蔽运行和搜索及注册表编辑器,无法进入注册表编辑器,通过注册表编辑器进行对上述三项异常修复。

f) 禁用右键菜单

病毒手动处理方法

首先,要想法恢复注册表编辑器regedit,能进入注册表编辑器处理这个病毒就简单了。我们试试cmd是否能用,点开始里的cmd,调出cmd命令行窗口,输入gpedit.msc,进入组策略编辑器,如图12和图13所示,能正常调出系统组策略,看来这个病毒没有屏蔽组策略。

图12:命令行下调出组策略

图13:组策略可以正常打开

在本地计算机策略/用户配置/管理模板/系统,在右侧窗口找到阻止访问注册表编辑器工具这条策略,如图14所示,右键选择属性,将其禁用,禁用也就是让这条策略是失效的。如图15所示,设置之后在c:\windows\目录下直接运行regedit,注册表编辑器可以正常打开了,如图16所示。

图14:阻止访问注册表编辑器

图15:禁用阻止访问注册表编辑器

图:16注册表编辑器正常打开。

在注册表编辑器找到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer这项,右侧窗口我们看到有NoRun其Dword值为1,1表示true,也就是开始运行被屏蔽,将值修改为0,即false,这样开始运行就显示了,如图17所示。

图17:病毒添加的NoRun用来不显示开始运行

图18:修改NoRun的DWORD值为0

注:修改为策略后,需要在命令行窗口,使用gpupdate /force命令刷新策略,才能显示运行,如图19和20所示。

图19:gpupate/force刷新策略

图20:刷新策略后正常显示出运行

我们再来看一下:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer这项,在正常的右侧窗口应该只有一个DWORD项(NoDriveTypeAutoRun),其余都是病毒在这里添加了多个DWORD项,如图21所示,用来屏蔽系统的如NoRun(运行)、NoFind(搜索)等等,增加清除该病毒的难度。实际上我们将其病毒添加的异常策略项删除,再刷新策略即可。

图21:病毒添加的多个DWORD项

图22删除病毒添加的异常注册表项,搜索可以正常显示

在Explorer项下还有个system项,即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,这个在正常的系统里是没有的,病毒在这里写入了DisableTaskMgr(禁用任务管理)和NoDispBackGroundPage(不显示背景页),如图23所示,同样删除system项再刷新策略后,任务管理器就可以正常使用了。

图23:删除system项刷新策略后任务管理器已正常

点击任务管理器,发现有两个病毒进程,需要杀掉,如图24所示。在开始运行输入msconfig,在启动项里发现两个病毒的启动项c:\windows\system32\winsock.exe和c:\windows\system32\winkernal32.exe,取消这两个启动项的勾,如图25所示。在对应的路径下找到winsock.exe和winkernal32.exe将其删除,如图26所示。

图24:任务管理器winsock.exe病毒进程

图25:取消病毒启动项

图26:两个隐藏的病毒程序

图27:回收站里删除的两个病毒程序

恢复internet选项修改主页设置,再次进入组策略编辑器,在本地计算机策略/用户配置/管理模版/windows组件/Internert explorer中的右侧窗口找到禁止更改主页设置,将其禁用,如图28所示。随后,internet选项更改主页变为正常,可以进行对主页修改,图30显示将主页修改为空白页。

图28:禁用“禁用更改主页设置”策略

图29:禁用更改主页设置策略生效,internet选项主页正常

图30:主页修改为空白页

还有IE窗口无法关闭,在注册编辑器里找到:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions项,病毒写入了NoBrowserClose(禁止关闭浏览器)和NoFavorites(屏蔽收藏夹)项,将Restrictions项删除,再使用gpupdate /force命令刷新策略,浏览器窗口就可以正常关闭,如图31所示。

图31:病毒写入的禁止关闭IE窗口和禁止显示收藏夹的注册表项

系统重启在登录界面弹出那个外文对话框,我们可以通过注册表编辑器,搜索一下弹窗内容(见图4)Vous utilisez Super Winmerde,搜索到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在右侧窗口的LegalNoticeText字符串项,如图32和33所示,将LegalNoticeText和LegalNoticeCaption的字符串内容删除,这样进入系统就不会弹出外文对话框,如图34所示。

图32搜索弹窗内容

图33搜索到注册表项LegalNoticeText和LegalNoticeCaption

图34正常启动进入系统

此外,这个病毒还修改了IE浏览器窗口的标题,对于这个,可以删除注册表项HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main右侧的Window Title字符串项即可,如图35和36所示:

图35:IE浏览器窗口标题被修改

图36:删除Window Title字符串项

至此我们完全通过手动的方法处理掉了这个病毒,使系统恢复正常,没有用到任何辅助工具。此病毒主要应用了对系统注册表写入异常组策略的注册表项功能来屏蔽一些系统重要程序,如任务管理器、注册表编辑器等,我们可以用系统组策略来给它一一恢复。能够运用好windows系统给我们提供一些系统工具,对于处理病毒会给我们带来很大的帮助

知识来源: www.2cto.com/Article/201302/189409.html

阅读:70742 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“首页锁定病毒的手杀处理技巧”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云