记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

追杀sfc008木马

2014-12-23 07:45

下了个飞秋等几个小软件,没想竟然中毒了。
一、病毒特征


1、机器变得非常的慢,IE网页首页被自动定位到一个网站:


http://www.sfc008.com/?ie98-WZ


(编者注:如果是这个网站利用木马病毒做宣传,真实卑鄙之极,人人得而诛之)

2、同时桌面上出现了几个IE超级链接,如“淘宝购物”、“好看电影”,"Internet Explorer"等5个。直接删除删除不掉。

3、同时在c:\windows\system32下产生两个文件夹,文件夹名不规则:qfdpiaebbu,todqcgshvk,内各放一explore.exe和smss.exe木马文件。

c:\EEQQ,包含两个病毒文件:EEQ.exe,QQE.exe。


4、机器上的文件夹被隐藏,同时创建与该文件夹同一名称的木马文件,该木马文件图标为文件夹样式,但不显示扩展名,外观上和原有被冒充的文件夹一模一样。但若点击该木马文件则病毒文件得以运行,其巧妙之处除了偷梁换柱之外,点病毒文件亦能打开对应文件夹,不仔细看很容易被迷惑住。例如:

原有X目录:

文件夹A、文件夹B

病毒做手脚后,X目录文件分布:
 

文件夹A、文件夹B                         注:设置隐藏属性,若文件夹选项设置为不显示隐藏文件,则该原文件夹不可见。

文件夹A.exe、文件夹B.exe          注:产生与原有文件夹同名称的木马病毒文件,但可执行文件的扩展名被隐藏。

5、病毒文件大小为86557。

6、资源管理器搜索功能被屏蔽,点搜索,搜索面板一片空白,真叫人欲哭无泪。


二、手工清除办法

1、使用ICESWORD 等杀毒工具,在进程中杀掉c:\windows\system32\qfdpiaebbu\explore.exe,c:\windows\system32\todqcgshvk\smss.exe进程;接着清除c:\windows\system32\qfdpiaebbu\explore.exe,c:\windows\system32\todqcgshvk\smss.exe文件,c:\EEQQ目录。

2、让exe文件的扩展名总是显示,方法如下:

打开 注册表编辑器,在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe),选中exefile,在右边窗口空白处点右键,选择“新建→字符串值”,设置名称为AlwaysShowExt,然后重启explorer即可。反之,如果设置名称为NeverShowExt,就可以让exe文件扩展名从不显示。

3、删除木马自启动设置:

1) 删除注册表中的自启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,木马设置了机器重启动后对各种杀毒软件的剿杀;

2)开始菜单-》启动内的链接

 

以上操作均使用ICESWORD工具进行

4、使用工具剿杀假冒病毒文件。病毒特征为可执行文件,大小为86557,利用该特征可以做一小程序扫描系统中所有的文件夹,找到病毒文件后执行删除。一般程序员均可以自己试试,编写一个扫描、查杀工具。先遍历文件夹,发现为可执行文件后,检测大小是否为86557,若是则删除,然后递归执行。

这里附一个用Perl脚本写的查杀工具,可修改查杀路径:变量$path1


use File::stat;

print "Scan starting ...\n";

my $path1="L:\\";
deleteit($path1,"*");


sub deleteit{
my $path = $_[0];
my $ext = $_[1];
chdir($path);
if(my @name=glob("$ext")){
#print "test is ok!find ".@name."Files.\n";



my $item;
foreach $item(@name){
$_ = $item;
if(-d $item){
print ">>>$path\\$item\\\n";
&deleteit("$path\\$item\\","$ext");
chdir($path); #The most key line, recover the old work directory
} elsif(-x $item){
my $fileinfo = stat($item);
my $size = $fileinfo->size;
print $size;
if($size == 86557){


print $item,"<executable>?\n";
system("del -f \"$item\"");
}
}

}
}

}

use File::stat;

print "Scan starting ...\n";

my $path1="L:\\";
deleteit($path1,"*");


sub deleteit{
my $path = $_[0];


my $ext = $_[1];
chdir($path);
if(my @name=glob("$ext")){
#print "test is ok!find ".@name."Files.\n";
my $item;
foreach $item(@name){
$_ = $item;
if(-d $item){
print ">>>$path\\$item\\\n";
&deleteit("$path\\$item\\","$ext");
chdir($path); #The most key line, recover the old work directory
} elsif(-x $item){
my $fileinfo = stat($item);


my $size = $fileinfo->size;
print $size;
if($size == 86557){
print $item,"<executable>?\n";
system("del -f \"$item\"");
}
}

}
}

}


Perl运行环境下载地址:http://downloads.activestate.com/ActivePerl/releases/ 

5、资源管理器搜索功能恢复

在开始-》运行中执行 regsvr32  jscript.dll,然后杀掉explore.exe进程,重新启动C:\WINDOWS\explore.exe进程即可。

 

6、桌面图标的清除

使用ICESWORED工具清除,找到C:\Documents and Settings\All Users\桌面和C:\Documents and Settings\<当前用户名>\桌面目录,清理病毒连接。

在管理模板》控制面板》显示》隐藏“桌面”选中项卡,点自定义桌面按钮-》桌面项目面板-》常规-》点现在清理桌面按钮,然后在要清理的项目名称前打勾,不需要清理的去掉勾,按向导提示完成即可。


三、结语


1、注意:在中毒后,文件夹不能随便点击,以免误执行病毒文件;桌面上的Internet Explorer图标也不要点击。

2、希望杀毒专业人士对该病毒做更进一步分析,提出完善的查杀方案和简单的操作方法和查杀工具,以清除病毒,打击木马营销者的嚣张气焰。
知识来源: www.2cto.com/Article/201412/363610.html

阅读:90043 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“追杀sfc008木马”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云