Win10论坛

Win10正式版系统下载主题平板

重定义Modern UI,打造完美Windows全新体验

Windows10下载|安装|新手宝典|必备软件

搜索
查看: 25944|回复: 151

[原创内容] 不幸中木马----手杀过程   [复制链接]

Rank: 1

UID
1808071
帖子
112
PB币
920
贡献
0
技术
10
活跃
64
发表于 2012-4-15 21:56:29 |显示全部楼层

新装的winxp ,由于嫌自带的ie5太老,所以在百度上搜索“winxpie”,然后打开“Internet Explorer 8 for WinXP 简体中文官方版” http://www.skycn.com/soft/30276.html,选择了“河南景安电信下载” http://www.skycn.com/down.php?uri=http://61.153.35.202:82/down/InternetExplorer.zip。然后我又尝试了其他下载点,结果一切正常。那么为什么从这个下载点上下载的东西是病毒,也就是说该服务器上的文件被替换了,或是遭到域名劫持了??

在下载时,看到InternetExplorer.zip只有164K,觉得有点奇怪,但是没有太仔细看。下载完后,就直接打开了。

结果,呵呵,中奖了。

每个几分钟就弹出广告页面,每个分区根目录之下都生成了autorun.infw3wp.exe。在windowssystem32文件夹下生成了pagefile.exew3wp.exe,构成双进程,互为守护进程,以确保木马的正常运行。

同时,还修改了hosts文件,将360等网站的ip指向本机(127.0.0.1),将一些常用的网站,如百度,腾讯等ip全部指向一个ip,显然是用来获取点击的。

另外,在打开360等的安装文件时,马上被终止。

我的IceSword(冰刃)是以压缩包的形式保存的,在解压时,直接被木马删去了主应用程序IceSword.exe,只剩下Cooperator.zipFileReg.chmFileReg.icpIceSword.chmreadme.txt

无法运行。

文件夹选项中的“隐藏系统文件”和“显示隐藏文件”选项直接被屏蔽,不显示了。

autorun.inf的内容如下:

[AutoRun]

shell\open=打开(&O)

shell\open\Command=w3wp.exe

shell\open\Default=1

shell\explore=资源管理器(&X)

shell\explore\Command=w3wp.exe

可以看到,在打开分区时,会调用w3wp.exe来打开。

然后,无奈了,杀软打不开,装不上,杀毒网站打不开,专杀和急救箱工具是不用想了,怎么办?怎么办?

多亏我平时没事喜欢下载些莫名其妙的软件,找到个ESET SysInspector,打开,木有问题,可以打开,哈哈。这个就说明这个木马的数据库不够全面,等我啥时候做木马了,就专门建个服务器,不断更新各种数据,让我的小马没事多和服务器沟通下,呵呵。

查看进程信息,看到pagefile.exew3wp.exe这两个进程比较可疑,查看路径,windows下的,扯淡嘛,pagefile这不是页面文件吗,啥时候转行做应用程序了?

转到所在文件夹,查看详细信息,恰好是在我运行InternetExplorer.zip那会儿生成的,那么,同时选中两个,果断结束。好了,世界清静了…..

接下来,安装360,虽然360安全卫士不是一般的烂,但是有时候当做个小工具集合还是凑合的,安装完毕,修复系统,修复hosts文件,删除木马文件。

好的,重启。

不幸的是,木马依然自启动了

360查杀,同时,手动搜索,条件:时间,今天,大小,小于100k,搜索到三个pf文件。

PF文件:预读取文件

  在Windows XP及其以后的操作系统中,增加了预读取功能(也可以理解为“预先

  装载”),该功能可以提高系统的性能,加快系统的启动、文件读取的速度。

  预读取文件保存在%systemroot%\Prefetch目录中,以*.pf为扩展名

  这些*.pf文件包括了载入文件的详细信息和载入顺序

为提高Windows和程序的启动速度,即让系统不自动产生.PF文件,需要禁用 Windows XP Prefetcher 组件。

果断删除,好了,再没有什么w3wp.exe了。

但是,还有个问题,在我电脑联网时,每隔几分钟会自动打开网页,这个没有解决,求大神援助!!

就特么这么被人坑了,不是咱的作风!

打开虚拟机,打开regmon和filemon,打开之前留作标本的木马文件w3wp.exe,监控木马运行动作。

这是filemon的部分记录,自己看吧

31840       19:22:35  w3wp.exe:164          IRP_MJ_CLEANUP   C:\WINDOWS\system32\SHELL32.DLL    SUCCESS            

31841       19:22:35  w3wp.exe:164          IRP_MJ_CLOSE        C:\WINDOWS\system32\SHELL32.DLL    SUCCESS            

31842       19:22:35  w3wp.exe:164          FASTIO_QUERY_OPEN     C:\Documents and Settings\Administrator\桌面\w3wp.exe.Local\    NOT FOUND     Attributes:Error      

31843       19:22:35  w3wp.exe:164          FASTIO_QUERY_OPEN         C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83  SUCCESS         Attributes:D   

31844       19:22:35  w3wp.exe:164          IRP_MJ_CREATE          C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83  SUCCESS         Options:Open Directory  Access: 00100020

31845       19:22:35  System:4  IRP_MJ_QUERY_INFORMATION     C:\WINDOWS\system32\comctl32.dll     SUCCESS         FileNameInformation      

31846       19:22:35  w3wp.exe:164          IRP_MJ_CREATE     C:\WINDOWS\system32\comctl32.dll     SUCCESS   Options: Open Access: 001200A9   

31847       19:22:35  w3wp.exe:164           FASTIO_QUERY_STANDARD_INFO      C:\WINDOWS\system32\comctl32.dll     SUCCESS         Length:617472        

31848       19:22:35  w3wp.exe:164        IRP_MJ_CREATE     C:\WINDOWS\system32\comctl32.dll.124.Manifest       NOT FOUND         Options:Open  Access: 001200A9         

31849       19:22:35  w3wp.exe:164           IRP_MJ_CREATE          C:\WINDOWS\system32\comctl32.dll.124.Config  NOT FOUND         Options:Open  Access: 001200A9         

31850       19:22:35  w3wp.exe:164       IRP_MJ_CLEANUP   C:\WINDOWS\system32\comctl32.dll     SUCCESS            

31851       19:22:35  w3wp.exe:164       IRP_MJ_CLOSE       C:\WINDOWS\system32\comctl32.dll     SUCCESS            

31856       19:22:35  w3wp.exe:164       IRP_MJ_CREATE    C:\WINDOWS\system32\WININET.DLL   SUCCESS   Options:Open  Access: 001200A9   

31857       19:22:35  w3wp.exe:164       FASTIO_QUERY_STANDARD_INFO  C:\WINDOWS\system32\WININET.DLL   SUCCESS         Length:651264        

31858       19:22:35  w3wp.exe:164           IRP_MJ_CREATE          C:\WINDOWS\system32\WININET.DLL.123.Manifest    NOT FOUND     Options:Open  Access: 001200A9         

31859       19:22:35  w3wp.exe:164           IRP_MJ_CREATE          C:\WINDOWS\system32\WININET.DLL.123.Config         NOT FOUND     Options: Open  Access:001200A9         

这是regmon的部分记录

95577       239.78285217 w3wp.exe:256       OpenKey         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS   Access:0x2000000         

95578       239.78358459 w3wp.exe:256       OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\         SUCCESS   Access:0x2000000         

95579       239.78361511 w3wp.exe:256       CloseKey         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS            

95580       239.78437805 w3wp.exe:256       QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data         BUFFER OVERFLOW                  

95581       239.78536987 w3wp.exe:256           QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data         SUCCESS   0000 00 00 5C 00 5C 00 ...      

95582       239.78546143 w3wp.exe:256           CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\         SUCCESS            

95583       239.78771973 w3wp.exe:256       OpenKey         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS   Access:0x2000000         

95584       239.78884888 w3wp.exe:256           OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\         SUCCESS   Access:0x2000000         

95585       239.78999329 w3wp.exe:256       CloseKey         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS            

95586       239.79003906 w3wp.exe:256           QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Generation         SUCCESS   0x1   

95587       239.79133606 w3wp.exe:256       CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\         SUCCESS            

95588       239.79537964 w3wp.exe:256       OpenKey         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS   Access:0x2000000         

95589       239.79650879 w3wp.exe:256           OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\         SUCCESS   Access:0x2000000         

95590       239.79765320 w3wp.exe:256           CloseKey         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS            

95591       239.79768372 w3wp.exe:256       QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data         BUFFER OVERFLOW                  

95592       239.79881287 w3wp.exe:256       QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data         SUCCESS   0000 00 00 5C 00 5C 00 ...      

ue     


2

查看全部评分

Rank: 11Rank: 11Rank: 11

UID
2265352
帖子
4682
PB币
4032
贡献
0
技术
93
活跃
594

7周年庆典勋章

发表于 2012-4-16 07:20:01 |显示全部楼层
鼓励原创内容,感谢楼主分享经验!!!楼主辛苦了!!!

格兰亚多精英战士

Rank: 9

UID
1166157
帖子
2823
PB币
9789
贡献
0
技术
38
活跃
273

7周年庆典勋章

发表于 2012-4-16 08:54:17 |显示全部楼层
楼主再接再厉 !

UID
992009
帖子
3590
PB币
3276
贡献
0
技术
19
活跃
1113
发表于 2012-4-16 08:56:23 |显示全部楼层
学习楼主的查杀经验,支持原创。

Rank: 1

UID
754615
帖子
55
PB币
70
贡献
0
技术
0
活跃
5
发表于 2012-4-16 11:44:46 |显示全部楼层
杀马好难啊

developer

Rank: 9

UID
1376823
帖子
1840
PB币
5209
贡献
0
技术
130
活跃
78
发表于 2012-4-16 14:11:25 |显示全部楼层
本帖最后由 长风傲天 于 2012-4-16 14:15 编辑

关联的东西很多,没有你想象中的那么简单。
我只在虚拟机完全纯净的XP(Windows XP Mode,没有装任何软件)里面开了木马和ESET SysInspector,发现关联的进程有w3wp.exe, pagefile.exe, conime.exe以及一个svchost.exe等等(可能还有没记起来的)。病毒还在C:\Documents and Settings\USER_NAME\Application Data\Storm里面写了一个x什么什么的文件,另外在Application Data下的qqsafe文件夹也写了东西——因为虚拟机里面没有装任何软件,所以很明显这两个位置有问题。但是如果谁的XP装了暴风影音和QQ,那么除非杀毒软件能够判断清楚,否则自己就没办法判断哪个是病毒文件了。
还有至少一个驱动,不过这个驱动应该是开机启动后木马自动删除掉了,找不到那个文件。
Windows下多出的一个qr什么什么文件夹(资源管理器看不到)是木马创建的。
这个木马还带着键盘记录器功能。
ESET查杀结果是Win32/Kryptik.APK木马变种。
想要继续玩马的童鞋可以去http://115.com/file/e776oit0#下载,我已经分享过去了。如果对计算机了解不多,不建议尝试。千万记得在虚拟机里面运行——否则有点疏漏麻烦就大了。
1

查看全部评分

Rank: 2Rank: 2

UID
1307777
帖子
356
PB币
899
贡献
0
技术
2
活跃
380
发表于 2012-4-16 14:20:23 |显示全部楼层
下载软件果断去官网

Rank: 1

UID
1898635
帖子
38
PB币
2
贡献
0
技术
0
活跃
13
发表于 2012-4-16 14:30:34 |显示全部楼层
如果是带钩子的进程就麻烦了

Rank: 1

UID
1109330
帖子
62
PB币
113
贡献
0
技术
0
活跃
8
发表于 2012-4-18 21:17:52 |显示全部楼层
谢谢分享!!!!!!!!!

Rank: 2Rank: 2

UID
981470
帖子
265
PB币
353
贡献
0
技术
2
活跃
187
发表于 2012-4-19 08:57:39 |显示全部楼层
本帖最后由 dfww 于 2012-4-19 09:01 编辑

想尝试下楼主的小马一匹,可一点击下载,俺的杀毒软件就叫了。呵呵。
XP自带的是IE6。IE5那个是win98/me时代的了,吓俺一跳。如果遇到楼主这样的情况,俺会立即格掉重装,这样清除的觉得不准成。
ps:用浏览器下楼主那个地址:http://61.153.35.202:82/down/InternetExplorer.zip 无法打开。用迅雷下是正常的16M的IE8zip包

Rank: 1

UID
2614952
帖子
21
PB币
1
贡献
0
技术
0
活跃
0
发表于 2012-4-19 09:20:20 |显示全部楼层
thanks for sharing

总统

Rank: 9

UID
1590368
帖子
1107
PB币
117
贡献
0
技术
153
活跃
120

7周年庆典勋章

发表于 2012-4-19 09:50:12 |显示全部楼层
学习楼主的查杀经验,支持原创。

UID
2624801
帖子
46
PB币
58
贡献
0
技术
0
活跃
0
发表于 2012-4-22 23:02:56 |显示全部楼层
用小红伞 不错的

Rank: 1

UID
1275269
帖子
24
PB币
95
贡献
0
技术
0
活跃
18
发表于 2012-4-23 09:07:42 |显示全部楼层
这木马加的小东西很多,重装系统后c盘外的软件同样运行。

Rank: 2Rank: 2

UID
1740782
帖子
383
PB币
363
贡献
0
技术
0
活跃
719
发表于 2012-4-25 05:02:15 |显示全部楼层
上次在游民星空下载一个补丁,不小心手抖点错了下载链接,结果下了个一百多k的瑞星杀软安装文件,然后犯脑残的双击看看是不是在线下载器,谁知道,瞪了n久都没反应,16G ddr3 2600k 黑盘,为啥还等这么就,觉得可以了,果断脑子清醒了(那时候凌晨),卧槽,中招了,然后用everything搜索关键字找到源文件以及潜在的文件,一看,三分钟前建立的,一共3个文件,果断删除,再用windows清理大师,世界果断又清净了。。。。。下次不适合脑子不清醒的时候下软件,会眼花点错链接。。。

Rank: 2Rank: 2

UID
1591678
帖子
170
PB币
405
贡献
0
技术
0
活跃
11
发表于 2012-4-25 07:40:12 |显示全部楼层
没试过手动杀,惭愧!

Rank: 7Rank: 7Rank: 7

UID
66063
帖子
3169
PB币
6359
贡献
0
技术
0
活跃
6
发表于 2012-4-25 13:04:07 |显示全部楼层
楼主搞错了吧XP自带的IE6,怎么变成IE5了


另:下载IE还是微软下载稳当点

Rank: 7Rank: 7Rank: 7

UID
626282
帖子
1656
PB币
4388
贡献
0
技术
0
活跃
106
发表于 2012-4-25 13:09:12 |显示全部楼层
这样看来还是我的经验好些,一般能从其官网下载的软件绝不从其他镜像地址下载的
头像被屏蔽

Rank: 5Rank: 5Rank: 5

UID
1323200
帖子
562
PB币
0
贡献
0
技术
0
活跃
216
发表于 2012-4-25 21:02:18 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

Rank: 1

UID
2483972
帖子
73
PB币
34
贡献
0
技术
0
活跃
25
发表于 2012-4-26 15:55:03 |显示全部楼层
手杀确实没试过,楼主辛苦!!
关闭

站长推荐

推荐好友加入远景可拿奖励
推荐好友进远景,可以拿3重奖励,PBB,威望,勋章,通通有~ 本帖只限回复推荐用
回顶部
Copyright (C) 2005-2018 pcbeta.com, All rights reserved
Powered by Discuz!  苏ICP备17027154号
请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。
远景在线 | 远景论坛 | 苹果论坛 | Win10论坛 | Win8论坛 | Win7论坛 | WP论坛 | Office论坛 | 电脑硬件 | 安卓软件