(冬天煮火鍋,正把火鍋料們倒進鍋裡,突然......)
火鍋女神隨著沸騰的蒸氣現形:「你掉的是金菇(左手),還是銀菇(右手)?」
「不不,我掉的只是擔子菌類的金針菇子實體......煮火鍋用的。」

電腦被佔好久了,自從資訊培訓後就沒得用(學姊我可不是故意不傳程式碼的囧
今天好不容易輪我用,卻發現速度超慢而且卡巴斯基一直慘叫各種奇怪的病毒訊息囧,卡巴斯基自己報了又解不掉,於是換我玩抓蟲XD
先從一直插在電腦上小隨身碟開始,免得不小心到處污染

症狀:隨身碟要用右鍵才打得開,裡有RECYCLER和autorun.inf兩個東西,卡巴斯基說是Virus.Win32.SMall.r
很明顯是隨身碟病毒,看樣子我的電腦也中標了,不能只把這兩個檔案刪掉就算。本來以為是常見的KAVO,可是找不到KAVO相關的痕跡,網路上也找不到資料,於是就當做練習把它給剖啦XDD

首先用記事本看autorun.inf
---autorun.inf內容------------------
[autorun]
open=

shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe
--------------------------------
顯然真正的毒INFO.exe藏在RECYCLER資料夾裏,可是RECYCLER看起來像是資源回收筒,按兩下打開的也是資源回收筒,沒法找到INFO.exe

執行/打開cmd看看:

C:\Documents and Settings\Administrator>cd \

C:\>G:

G:\>attrib RECYCLER
A  SHR     G:\RECYCLER

由此見RECYCLER被偽裝成系統隱藏資料夾,把隱藏屬性去除:

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib RECYCLER
           G:\RECYCLER
顯示成功了,檔案總管裡RECYCLER資料夾的樣子變正常了,可是不到一秒後又變回資源回收筒,再執行attrib也顯示恢復原狀...病毒在監視著呢(抖

G:\>attrib RECYCLER
A  SHR     G:\RECYCLER

怎麼辦呢ˇ我要看的就是INFO.exe
有兩個辦法,第一個有點扯但是真的有用,就是用WinRAR建個壓縮檔,在WinRAR裡把RECYCLER整個加入壓縮檔,再把INFO.exe解壓縮出來(令人驚訝的很有用,哈
不過看到DOS就想順便練習下命令:
以下這行命令的意思是不間斷的重複執行attrib -a -s -h -r RECYCLER解除偽裝,當然病毒也會再偽裝,然後趁它跟病毒鷸蚌相爭的時候趁機去檔案總管把RECYCLER雙擊打開XD

G:\>for /L %a in (1,1,100) do attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER
^C

得手後切回CMD用Ctrl+C終止,沒必要真的跑到一百遍。

看看RECYCLER裡到底裝啥-是INFO.exe和desktop.inf
用記事本開來看看:desktop.inf就是把資料夾搞成一臉垃圾桶樣的罪魁禍首ˇ

--------desktop.ini內容------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
-----------------------------

接下來是INFO.exe,這回不能用記事本了
先拿查殼工具PEiD v0.94檢查有沒有加殼
(PEiD v0.94繁中版在這可以載到
http://tw.myblog.yahoo.com/sodown5805/article?mid=2166&prev=2174&next=2129&l=f&fid=44&sc=1)

 

 

 

 

 

 
是VC++編寫的,沒有殼,這樣就可以直接用Ollydbg反編譯
(Ollydbg我用的是v1.10的某個漢化版 載點 http://www.badongo.com/cn/file/4481899)
反編譯後用其中一個插件把病毒運行中用到的UNICODE字串挑出來看
 

 

 

 

 

 

 

 

  
recycler、info.exe、desktop.ini、autorun.inf 都是之前翻到過的
_sv_cmd_\_u_.exe 和u.exe 像是不知道在哪的資料夾和檔案
software\microsoft\windows nt\currentversion\winlogon 看來病毒動了登錄碼
svchost.exe 這個是系統裡負責載入各種服務的程式,平常就會有好幾個在執行,有些病毒會偽裝成它這樣執行時就不容易被認出來
病毒很可能正在監視,其他檔怎麼清都會被復原的,所以要先關掉病毒ˇ

在cmd執行C:\>tasklist /svc 查看

 

 

 

 

 

 

 

 
每個svchost.exe後面都說明負責的服務...咦,3988號的怎麼沒有? 就是你ˇ先不急著關掉,因為要知道他到底是誰好刪掉,使用冰刃檢查處理序
(IceSword 1.22繁中版 載點 http://portable.easylife.idv.tw/1019)

 

 

 

 

 

 

 

 
其他幾個都在system32,怎麼有個不合群的~所以C:\WINDOWS\system\svchost.exe也是病毒ˇ
在冰刃裡右鍵關了它(或是於cmd裡用命令taskkill /PID 3988)
接下來就是快樂的刪除時間了,把隨身碟裡RECYCLER和autorun.inf刪掉,去C:\WINDOWS\system\裡找svchost.exe時沒想到也看到裝著_u.exe_的_sv_cmd_資料夾,一起刪了,話說我在電腦裡找不到u.exe耶。
開始/執行/regedit開啟登錄編輯器,按照之前的資訊找到"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
 
NT\CurrentVersion\Winlogon",發現Userinit這個值資料中出現"C:\WINDOWS\system\svchost.exe"<=不就是剛剛的病毒嗎,把逗點後面病毒的位址刪掉

這樣應該就清乾淨了ˇ
很可惜我的上機時間也沒有了(淚)下次不知道會不會又是一個月之後了= =
那幾個病毒相關檔我有保存起來,如果也想練習的人可以留言再給(應該很少人吧XD


又:
解完毒上網搜尋相關資料,居然發現有人也分析了這個病毒,方法和我超像的(神奇)不過有技術多了XD
http://net.ecit.edu.cn/news.asp?id=117 也看看喔

 

 

 

創作者介紹

以歌者之名流浪                         

jaacnaett 發表在 痞客邦 PIXNET 留言(2) 人氣()


留言列表 (2)

發表留言
  • jolanlee
  • 感覺超有技術性的,一般user應該看不太懂=.=
  • 是啊,其實用防毒掃一下可能就好了

    jaacnaett 於 2009/07/04 22:04 回覆

  • xx5236294roy
  • 推一下~有看有推 感謝<(_ _)>
找更多相關文章與討論