史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 一般電腦疑難討論區
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2006-12-18, 01:13 AM   #1
cruise70
註冊會員
榮譽勳章
UID - 37757
在線等級: 級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時
註冊日期: 2003-02-13
VIP期限: 2007-05
文章: 222
精華: 0
現金: 266 金幣
資產: 266 金幣
預設 討論 - 中了w*w.my123.c*m 病毒的網友請進

轉載來源
http://hi.baidu.com/nslog/blog/item/...fa1ec9c46.html
深入剖析MY123前生今世以及手工清除方法2006-11-15 15:36 作者:nslog ( www.nslog.cn )
日期:2006/11/15 (轉載請保留此申明)

引言:寫在最前面

MY123創造了很多流氓軟件的第一,有望爭奪流氓軟件的「最流氓軟件寶座」:
1、驅動保護(System Bus Extend驅動,安全模式下也加載)
2、隨機文件名,DLL和SYS
3、多線程保護,網絡自動升級
4、極強的自動恢復(即使在所有文件被刪除的情況下,仍然可以通過內存恢復!)
5、驅動文件獨佔方式,其它任何程序也無法讀寫及刪除
6、有預謀定時爆發(2006/11/11)

一、MY123的前世今生

風雨送飄(飄雪piaoxue)歸,飛雪(fiexue)迎春到。才別傲訊(allxun)網,又見一二三(MY123)。

短短一個多月時間,這些鎖主頁的流氓軟件已經讓上千萬的網民明白了什麼叫做強盜,什麼叫做無恥,什麼叫做瘋狂。9號的時候就已經聽人放言10號以後會有一個流氓會大規模爆發。果然,在2006/11/11號這個光棍節的時候,MY123如期而至。現在看來,原因在於這個流氓軟件已經早就潛伏於用戶的電腦中,通過和多個其它流氓軟件的捆綁以及其它的渠道,已經潛入成百上千萬的網民電腦中,平常也是啟動的,但判斷日期小於11/11號,就潛伏不動,一旦系統時間大於11號,就開始修改用戶主頁。而選擇這個特殊時間,選擇在周未的時候,顯然也是別有用心,可以利用反病毒廠商假期的時候反應不及時而大規模爆發。

從規模及爆發面積來看,全國各地可能有數百萬甚至上千萬用戶被該流氓惡意修改了主頁,這和之前爆發的大面積piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等惡意修改用戶主頁,十分相似。同以往的一些「老流氓」相比,這些新流氓的特徵是爆發面積特別大,效果明顯,目的明確單一(修改主頁),手段新奇狠毒,歎為觀止。

顯然這是一場預謀已久的活動,並且短短幾天內,這個驅動病毒至少已經有三個不同的版本,造成一些專殺工具失效。這個MY123已經具備所有病毒的特徵,希望總有一天法律能將這種無良的作者繩之以法。

二、剖析流氓手段
這個驅動經過層層改進,家庭發揚得很光大,看看:
1、飄雪(piaoxue)
2、飛雪(feixue)
3、QQHelper
4、allxun.com傲訊
5、My123(7255)

最早的MY123只有一個驅動,已經有多個專殺工具可以殺。後來又出現版本2,即多一個同名的.dll位於system32目錄下,現在的版本3,是一個非同名的.dll位於system32目錄下。今天主要分析一下我手頭拿到的這個版本3。

1、程序安裝

首先是釋放一個.dll到system32目錄下,文件名的特徵是隨機的8位字母(也有版本是6位字母加2位數字),然後調用rundll32.exe wceiukte,DllUnregisterServer來註冊COM組件,接下來調用Rundll32.exe wceiukte.dll,DllCanUnloadNow來運行程序,並且註冊WH_CALLWNDPROC這個系統掛鉤。
DLL分別注入SYSTEM和EXPLORER進程空間,進行保護,如果檢測沒有驅動,則會自動釋放出驅動,然後加載。同時這個DLL具有網絡下載升級功能。
這個dll運行後,會生成一個.sys文件,放到drivers系統目錄下。DLL通過一個算法得到SYS文件名,算法是:


DLL的文件名
ascii碼+32143289052890852-32143289052890848-34320958+34320955就就是SYS文件名
也就是ascii + 1
即.dll的文件名為:wceiukte.dll那麼.sys文件名就為:xdfjvluf.sys

2、註冊和加載驅動
會在註冊表的HKLM\SYSTEM\CurrentControlSet\Services\下寫下同驅動名的一個值,把自己註冊為System Bus Extend的驅動,使得它的優先級很高,即使在安全模式下加載,也使得很多想清除它的軟件無效。然後通過services來加載驅動,驅動加載後,生成三個線程附加到system這個系統核心進程上,(以前的驅動是兩個線程)獲取最高權限。通過Process Explorer可以查看到這三個線程:



三個線程的作用分別為:

0x1dd4:自身文件獨佔及句柄檢測保護模塊等,會將自身文件以獨佔方式打開,這樣若不解除獨佔,任何windows下使用常規訪問文件方法的程序包括殺毒軟件都無法讀寫或者刪除它的驅動程序文件。
文件句柄檢測保護模塊則是為了防止手工或者專殺的解除句柄的操作。以前的手工清除或者專殺都是需要先解除這個獨佔,才能刪除文件。
但該驅動增加了這個保護,會不停檢測自身文件的獨佔是否被強制解除,如果檢測到,立即再次獨佔.

0x1816:服務保護模塊:該模塊會檢測驅動自身的註冊表服務項,不停地暴力重寫自身服務項,使得無法刪除其服務項.

0x103e: 篡改首頁模塊:該模塊會不停暴力重寫註冊表中首頁設置為w*w.my123.com,導致無法對該項進行修復.

三、手工清除辦法(適合目前有一定操作技能的用戶)
清除了這個流氓的手段,就可以針對來找一些清除辦法了。當然,比起上一次的飄雪來,困難了許多。

1、找出驅動
要殺流氓軟件的第一步,就是要找出流氓軟件,可以有多種辦法找出這個流氓軟件。
用到我以前寫的一篇文章《釜底抽薪:用autoruns揪出流氓軟件的驅動保護》,我們今天就來實戰一下。運行autoruns之後,在它的「Options(選項)」菜單中有兩項「Verifiy Code Signatures(驗證代碼簽名)「Hide Signed Microsoft Entries(隱藏已簽名的微軟項)「,把這兩項都選中了。掃瞄之後,我們只看驅動(driver)這一項:



可以看出來,它是假冒微軟的驅動。這個驅動雖然寫明是微軟的,但是沒有經過微軟的數字簽名,所以肯定是假的。(可能你的機器上顯示特別多,但所有非微軟的,都是有問題的),因為是隨機生成的文件名,所以你那裡找出來的,可能跟我的不一樣。請自己記下文件名。特徵是8位隨機的字母,並且公司是微軟公司,但是顯示(Not verified),如果你這裡不能確認,可以用下面的辦法。

2、用procexp找出驅動名來
運行procexp,(下載地址見最後),找到system這個進程,然後點右鍵——屬性(Properties)——線程(Threads),然後把下面的框子拉到最後,看有連續三個,比較無規則的八個字母的驅動,再跟autoruns對一下就可以確定是哪個驅動了。(見第一張圖)

3、刪除驅動.sys

打開c:\windows\sytem32\drivers目錄,由於這個.sys驅動文件把自己設為系統、隱藏,所以需要打開文件夾的顯示系統文件的選項才能看到。(你也可以用這個辦法來找到驅動,一般的正常驅動都不會想著隱藏自己的)。


在那個驅動文件上點右鍵,然後——Unlocker——會出來一個對話框,顯示當前已經使用這個.sys的進程,點「Unlock「,然後再Unlocker一下......顯示文件已經被刪除了。。。。。以為大功告成了。

但是緊接著怪事就出事了,刷新一下,發覺這個文件又出現了!百思不得其解,已經確認所有的後台服務都是正常的,那個.dll也已經被刪除了....這個問題困擾了許久,又拿出驅動好好研究了一下,終於發覺這個極其變態的辦法——一個正常的人是不可能把寫出這樣的驅動的!

它註冊了一個NotifyRoutine的一個回調函數,這個是一個自我修復的功能,只要系統任何進程或線程打開,它馬上會調用,檢查文件如果被刪了就立即從內存中自動恢復!顯然是針對上一次飄雪的那個手工專殺或者清除辦法做的一次改進,正常辦法根本不可能刪掉。

用unlocker的確是把文件刪除了,但是沒有辦法不啟動其它進程或者線程啊,即使馬上選擇關機,它也會新建線程,這個時候它也馬上可能恢復了。。。。難道只能用最後一招:DOS大法???真很不甘心啊....&%$#@!&*()_+

也不知怎麼了,突然靈光一線,想到一個絕招:斷電法!就是:刪除之後,馬上不做任何操作,直接按機器電源鍵重啟!經實驗是成功的,OK...followed me...

清除之前,我們先要停止那三個system中的線程,那個會不停地自動檢測,打開procexp,然後在system上點右鍵---屬性---線程, 點一下Start Address,這樣可以按字母排序,找到剛才我們看到的驅動,三個連續在一起。點一下線程,然後點那個「Suspend「按鈕,將這個線程暫停。(它做了自我保護,殺不掉的,只能暫停)。


確保停止線程之後,這個按鈕都變成「Resume(暫停)」,三個線程全部暫停之後,打開c:\windows\system32\drivers目錄,右鍵點那個.sys驅動---unlocker。



此主題內文由 不飛 重新編輯內文,以免被綁架首頁。 By 不飛

此帖於 2006-12-18 01:23 AM 被 不飛 編輯.
cruise70 目前離線  
送花文章: 8, 收花文章: 2 篇, 收花: 3 次
回覆時引用此帖
舊 2006-12-18, 01:15 AM   #2 (permalink)
註冊會員
榮譽勳章
UID - 37757
在線等級: 級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時級別:22 | 在線時長:585小時 | 升級還需:36小時
註冊日期: 2003-02-13
VIP期限: 2007-05
文章: 222
精華: 0
現金: 266 金幣
資產: 266 金幣
預設

第一次先unlock那個System的句柄佔用。第二次再unlocker,這個時候就會出來一個對話框:



這時注意了:

一手將鼠標移動OK對話框中,一手找到機器的RESET鍵(請確保這個鍵有效,直接斷電對機器有損傷),在按下鼠標之後,一看到那個刪除OK的提示之後,馬上按下RESET鍵,直接重啟機器(如果是筆記本,就先把電池拿了,直接斷電)。這個辦法講究眼急手快,如果無效再試一次。

按我的經驗,兩秒之後按下RESET鍵都是有效的(殺這個東西真不容易,再次詛咒一個寫出這麼變態驅動的人來)。

3、刪除.dll
當失去驅動保護之後,這個DLL也就肉雞了,要殺要剮全憑你喜歡了。你放在那裡不管也無所謂。它隱藏得也很深,沒有在註冊表的啟動組裡面表現出來。360出的專殺,只能殺MY123的前兩代,對於這個第三代,目前為止還不能清除,只能清除.dll。所以有時開機之後會顯示加載DLL失敗:



這個是由那個該死的驅動去加載的,所以找註冊表是沒有用的。

重啟之後,再重新設一下IE的主頁,應該就可以了。至於那個Seriver的值,刪不刪都無所謂了。

四、DOS大法(適合現在以及將來所有此類型的流氓軟件,要求較高)
DOS大法一直是我們殺這類驅動流氓的最後一招,無論多麼強的驅動保護,只要用了它,手到擒來,但是由於要安裝另外一個系統或者操作DOS,對於新手來說,有一定難度,所以一般來說,都不是我推薦的。這裡建議去下載一個叫vfloopy的虛擬軟驅軟件,安裝之後,系統重啟的時候就多了一項,啟動到虛擬軟驅,這樣可以直去直接刪除這個驅動文件。

上面這個累了一身汗的辦法,不知多久就地失效,但思路是一樣的,只要找到驅動文件,下面就是如何刪除的問題。寫飄雪的時候就想著寫這個辦法了,但是覺得麻煩,不願意再啟一個操作系統。

你也可以用深山紅葉這類系統急救光盤或者另外一個Windows去刪除那個驅動文件,具體的操作流程我就不多費口舌了。

五、專殺工具

當然,上面這些操作還是比較繁瑣,對於普通用戶來說難度太高了。目前市面已經可以清除MY123的工具有:

360專殺工具:目前可以清除1,2,3代
http://bbs.360safe.com/viewthread.ph...age%3D1&page=1

Windows清理助手:目前可以清除1,2,3代,效果不錯:
http://www.arswp.com/


六、感謝及其它

特別感謝一下MJ0011......
本文始發於www.nslog.cn,特別鄙視一下轉載我文章刪除我署名信息的,請保留對作者起碼的尊重。


七、參考文章及下載
飄雪(piaoxue/feixue)的詳細分析以及手工清除辦法
http://hi.baidu.com/nslog/blog/item/...f76c638c8.html

對付my123等主頁鎖定的終極一招
http://hi.baidu.com/nslog/blog/item/...daa645757.html

my123.com改首頁流氓大面積爆發,360safe 24小時內趕製出專殺工具(MJ0011)
http://hi.baidu.com/mj0011/blog/item...d52664ff1.html

釜底抽薪:用autoruns揪出流氓軟件的驅動保護
http://hi.baidu.com/nslog/blog/item/...24f4aea91.html

如何刪除頑固文件之流氓軟件篇
http://hi.baidu.com/nslog/blog/item/...362279868.html

Process Explorer官方下載
http://download.sysinternals.com/Fil...ExplorerNt.zip

AutoRuns官方下載
http://download.sysinternals.com/Files/Autoruns.zip

虛擬軟驅vfloppy 1.50
http://dl.pconline.com.cn/html_2/1/5...9200&pn=0.html
cruise70 目前離線  
送花文章: 8, 收花文章: 2 篇, 收花: 3 次
回覆時引用此帖
發文 回覆


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:39 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1