作者:網(wǎng)絡(luò)安全日志 ( www. )
日期:2006/10/20 ( 轉(zhuǎn)載請保留此申明)
10/26更新說明:23號開始陸續(xù)有用戶反應(yīng)飄雪用專殺工具殺不掉��,經(jīng)過分析,飄雪的作者做了升級���,特征是驅(qū)動文件還有一個同名的.dll文件���。目前所有專殺無效,通過試驗(yàn)���,手工辦法還是可以清除的�。特更新
一���、概述
近來中了piaoxue.com和feixue.com招的用戶很多��,一直在想辦法收集樣本�,今天終于下載了一個病毒包�����,里面有七八個流氓軟件��,其中有一個就是飄雪(現(xiàn)在流氓軟件服務(wù)真好����,買一送十)�。以身試毒���,把常有的武器都用上了,基本把它的思路分析清楚了�����。
二��、過程分析
程序安裝的時候��,會首先檢查有沒有安裝(HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX)�����,如果安裝過了���,就直接退出�。所以可以根據(jù)這一點(diǎn)來免疫���。
接著檢查是否安裝了虛擬機(jī)(通過檢查HKLM\Software\VMware,Inc.\VMware
Tools值)�,如果安裝了�,則直接退出��。這點(diǎn)主要是防范系統(tǒng)調(diào)試人員��,如果在虛擬機(jī)上安裝�����,就退出���。看來paoxue的作者真是用心良苦啊!
不過我一向都不使用虛擬機(jī)�����,呵呵����。
它沒有采用BHO這種流氓也容易被殺的方式,通過隨機(jī)生成一個驅(qū)動���,安裝驅(qū)動到(%system%\system32\drivers目錄下����。我安裝的過程生成的eugnxqcx.sys和wllcnlke.sys�����。[新版的會在system32目錄下生成一個同名的.dll文件-10/26更新]
驅(qū)動加載后,通過生成兩個線程附加到system這個系統(tǒng)核心進(jìn)程上��,獲取最高權(quán)限���。
通過Process Explorer可以查看到這兩個線程: 
這兩個線程一直不住地檢查注冊表(HKLM\SYSTEM\CurrentControlSet\Services\)下自己這個驅(qū)動的值,如果刪除馬上又會生成����。這兩個線程雖然看到但是沒有辦法殺掉,會提示沒有權(quán)限�����。另外用冰刃(IceSword)這個工具也可以看到�,但是殺不掉。���。汗�����。��。�。 
看來它的驅(qū)動保護(hù)做的還是不錯的,難以殺掉的原因是對文件以及進(jìn)程都做了保護(hù)�����。我介紹的《頑固文件刪除終極武器》����,用金山文件粉碎器,打開的時候提示無法打開文件�。很少會遇到的一種情況。
因?yàn)轵?qū)動是屬于Boot Bus Extender組的�����,在操作系統(tǒng)加載時就會被加載�����,所以即使安全模式下也會加載��,所以到安全模式下刪除也是無效的���。
看得出來飄雪為了防范目前的殺流氓軟件工具�����,下了不少的工夫���,已經(jīng)試驗(yàn)過的多種工具無效:
IceSword刪除驅(qū)動文件無效��,Procexp���,IS中止進(jìn)程無效���,金山文件粉碎器刪除文件無效(而這幾個是我前不久在試不爽的���,還大力推薦的。���。�����。faint..)
不過魔高一尺�����,道高一丈���,知道了原理和過程之后�����,離解決也不會太遠(yuǎn)����,����,下面介紹一下殺它的辦法(親自試驗(yàn),不需要重啟���,力求簡單����,菜鳥也可以操作)
三�、清除辦法:
1、找出驅(qū)動來
用到我以前寫的一篇文章《釜底抽薪:用autoruns揪出流氓軟件的驅(qū)動保護(hù)
》��,我們今天就來實(shí)戰(zhàn)一下。運(yùn)行autoruns之后����,在它的“Options(選項(xiàng))”菜單中有兩項(xiàng)“Verifiy Code Signatures(驗(yàn)證代碼簽名)“Hide Signed Microsoft Entries(隱藏已簽名的微軟項(xiàng))“,把這兩項(xiàng)都選中了�。掃描之后,我們只看驅(qū)動(driver)這一項(xiàng):
可以看出來�,它是假冒微軟的驅(qū)動。這個驅(qū)動雖然寫明是微軟的��,但是沒有經(jīng)過微軟的數(shù)字簽名�,所以肯定是假的。(可能你的機(jī)器上顯示特別多�,但所有非微軟的,都是有問題的)�,因?yàn)槭请S機(jī)生成的文件名�,所以你那里找出來的,可能跟我的不一樣����。請自己記下文件名。特征是8位隨機(jī)的字母����,并且公司是微軟公司,但是顯示(Not verified),如果你這里不能確認(rèn)��,可以用下面的辦法��。
2�����、用procexp找出驅(qū)動名來
運(yùn)行procexp,(下載地址見最后)�,找到system這個進(jìn)程,然后點(diǎn)右鍵——屬性(Properties)——線程(Threads)���,然后把下
面的框子拉到最后����,看有連續(xù)兩個���,比較無規(guī)則的八個字母的驅(qū)動����,再跟autoruns對一下就可以確定是哪個驅(qū)動了����。(見第一張圖)
3、刪除文件
因?yàn)槲募序?qū)動保護(hù),這里雖然找到線程的名字���,但是無論是Procexp還是IceSword都無法中止這個線程(如果你有好的辦法����,麻煩告訴我一下�,謝
謝)。另外本人寫的文章里面的關(guān)于刪除頑固文件的����,對付這種有意防范的,也是無效的�。經(jīng)過親自試驗(yàn),目前有兩個辦法可以刪除這個文件:
方法一:用Unlocker(下載地址及使用方法見最后的文章)
找到c:\windows\system32\drivers目錄下�����,找到剛才的那個驅(qū)動文件�����,點(diǎn)右鍵——Unlocker�,然后在出來的對話框中��,也會
顯示有一個sytem進(jìn)程占用了,點(diǎn)那個“Unlock“�。然后再在文件上Unlocker一下,這時顯示已經(jīng)沒有其它進(jìn)程在使用這個文件�,用它的
Delete功能,點(diǎn)確定便可��。這樣文件便刪除[請在system32目錄下查找同名的.dll文件����,如果找到,一并用這個辦法刪除]-10/26更新] 了����。
方法二:還是用Procexp
在Procexp中,先按Ctrl+H,切換到Handler視圖�����,然后按Ctrl+F��,查找����,輸入剛才的驅(qū)動名字(可以只輸入前幾個字母),然后就可以
看到在system這個進(jìn)程中有一個文件��,在那個上面點(diǎn)右鍵——Close Handle便可。然后再用資源管理器找到那個文件���,刪除便可���。 [新版這個方法刪除不掉那個同名的.dll,請用上面的辦法—10/26更新] 
我相信如果paoxue的作者看到這篇文章����,可能會做一些升級或者改變,使上面的方法無效(因?yàn)樗黠@已經(jīng)針對IceSword這幾個出名的軟件做了防
范)����,但是萬變不離其宗,如果那個時候�����,就先用autoruns/procexp找到相關(guān)的驅(qū)動文件�����,然后安裝一個虛擬軟驅(qū)����,到DOS下去刪除這個文件,那個是最后終極的辦法����。
我寫這篇文章,主要針對一些新手�����,所以盡量不要重啟以及做復(fù)雜的操作����。
刪除上面的.sys文件之后,為了安全起見����,重啟一下,然后再重新設(shè)一下IE的主頁�,應(yīng)該就可以了。至于那個Seriver的值���,刪不刪都無所謂了�。
四�、其它
針對飄雪的免疫辦法:
在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一個SearchPlugInX的DWORD值,然后任意輸入一個值��,這樣飄雪就不會再安裝了。
如果上面的方法無效�,請與我聯(lián)系,可能會有升級的版本�。但是以上介紹的所有辦法,在我的文章都已經(jīng)提到了�����。流氓軟件橫行年代���,自己都得學(xué)會一點(diǎn)保身之術(shù)�,呵呵����。
-------------------------------------------
飄雪極度猖獗 安全衛(wèi)士發(fā)布專殺工具(2006.10.27)
近段時間以來,一款惡意程序正在互聯(lián)網(wǎng)上肆虐�,該程序不僅會將用戶電腦首頁篡改為piaoxue.com、feixue.com�,而且還會修改用
戶Hosts文件,并終止或影響多個安全軟件的正常工作��,手段極為惡劣�����。據(jù)悉,目前風(fēng)頭正勁的安全輔助軟件——360安全衛(wèi)士已經(jīng)針對這一惡意程序發(fā)布了
專殺工具���。
據(jù)記者了解,該惡意程序目前已經(jīng)成泛濫的趨勢����,目前受害網(wǎng)民不計其數(shù)。瑞星全球反病毒監(jiān)測網(wǎng)將其歸結(jié)為病毒的范疇���,并命名為“廣告Rootkit(Rootkit.ADS)”����,但利用瑞星的殺毒軟件并不能查殺這一病毒���。而其它流行的防病毒軟件也多只能查詢到有病毒�,但無法徹底查殺�。
安全專家表示,“飄雪”病毒運(yùn)行后會在系統(tǒng)目錄下生成類似于名為lzx32.sys的文件���,并創(chuàng)建名為pe386的系統(tǒng)服務(wù)以實(shí)現(xiàn)隨系統(tǒng)啟動自
動運(yùn)行(文件名和服務(wù)都會隨即變化�,并不固定)�。該病毒會自動將用戶的IE瀏覽器主頁鎖定為一個名為“piaoxue(飄雪)上網(wǎng)導(dǎo)航”的網(wǎng)站���,以提高該
惡意網(wǎng)站的訪問量。病毒采用Rootkit技術(shù)����,隨時變化自身的文件名和服務(wù)名,使它很難被一般用戶發(fā)現(xiàn)和清除�。
“‘飄雪’在逃避查殺方面使用了很多伎倆,比如把其植入系統(tǒng)的驅(qū)動偽裝成微軟公
司編寫的�����,重復(fù)掃描HKLM\SYSTEM\CurrentControlSet\Services\下驅(qū)動的值���,如果被檢測到被刪除則立即再次生
成��?�!?60安全衛(wèi)士的開發(fā)人員表示:“目前很多惡意軟件已經(jīng)開始專門針對幾個最流行的反惡意軟件做‘優(yōu)化’�,這讓它們作惡的時間可以更長一些�。”
記者從360安全衛(wèi)士方面獲悉��,在接到大量網(wǎng)民舉報之后,開發(fā)小組迅速組織對“飄雪”進(jìn)行樣本分析���,并以最快時間開發(fā)出了專殺工具�,可以徹底查
殺該惡意程序����。據(jù)悉����,360安全衛(wèi)士是第一款能徹底查殺該惡意程序的安全輔助軟件。由于“飄雪”修改了Hosts文件�,可能導(dǎo)致網(wǎng)民無法打開360安全衛(wèi)
士官方站點(diǎn),所以受害網(wǎng)民可以使用以下地址下載專殺工具:http://220.181.34.241/pxzs.exe���。
網(wǎng)民普遍懷疑此惡意程序是piaoxue.com和feixue.com為了提升PV流量而采取的惡意行為���,該網(wǎng)站提供的服務(wù)和界面和
hao123網(wǎng)址站幾乎一模一樣。記者登錄該站點(diǎn)�����,在其站點(diǎn)頁面上并沒有感染惡意程序�����。對此,有安全專家表示�����,“飄雪”惡意程序主要是通過捆綁相關(guān)軟件進(jìn)
行散播�����,很多站點(diǎn)為了博取流量也采取類似的手法�。
-----------------------------------------
最新版的Windows清理助手
下載地址為:http://www./download/arswp/arswp.rar
使用很簡單,打開軟件�����,選擇清理�����,清除所有的惡意軟件��,清除完畢�����,會提示有些驅(qū)動級的惡意軟件不能清除,是否要使用驅(qū)動級清除軟件��,點(diǎn)“確定 ”,重啟�����。
再把"Internet 選項(xiàng)“���,的主頁改回空白頁即可����。
希望對大家有幫助�����。
-----------------------------------------
IE主頁被修改為飄雪piaoxue.com的解決方法
該流氓的病毒文件不定��,所以可能不能清除該流氓�,將繼續(xù)關(guān)注��,希望中此流氓的網(wǎng)友在晚上加Q:8533525
暫時找到個軟件:http://www./download/arswp/arswp.rar 可清除piaoxue.com�,但其他的幾個變種可能無效,如xfkz.com about-blank.cc 繼續(xù)關(guān)注��!
中此病毒,IE主頁還可能被修改為xfkz.com���,注意這個飄雪piaoxue.com已經(jīng)很久了���,苦于身邊沒有中此流氓軟件的電腦,同時又從各種日志上看不出來任何問題�!百度搜索了好久資料,均無解決方法����,直到一朋友的機(jī)子中了流氓,才得出簡單的解決方法��!
該流氓軟件創(chuàng)建隱藏服務(wù)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
釋放隱藏文件
C:\Windows\System32\lzx32.sys
手工刪除方法:
1.斷網(wǎng)暫時關(guān)閉系統(tǒng)還原�����,進(jìn)安全模式下
2.用冰刃刪除其創(chuàng)建的隱藏服務(wù)
3.刪除該流氓釋放的文件
4.改回主頁~
------------------------------------
IE瀏覽器主頁被修改為飄雪piaoxue.com的分析與解決辦法
還可能被修改為xfkz.com���,注意這個飄雪piaoxue.com已經(jīng)很久了�����,苦于身邊沒有中此病毒的電腦��,同時又從各種日志上看不出來任何問
題�,昨天朋友給推薦看了篇帖子,介紹了該問題的解決辦法��,后來又找了些相關(guān)的文章���,這個東東來頭不小���,如果按照完整描述來看,處理掉它較為麻煩���,先說下那
篇帖子的解決辦法:
先下載一個小工具gmer.exe
運(yùn)行g(shù)mer.exe�����,在界面上面的標(biāo)簽中,找到rookit項(xiàng)��,會出現(xiàn)下面內(nèi)容����,以紅字高亮顯示
Service C:\Windows\System32:lzx32.sys [hidden] .......
鼠標(biāo)右鍵選中它,"Delete the service"即可
但是通過一個完整描述來看���,這個新rootkit是能躲過部分rookit查殺工具的�,其中g(shù)mer.exe也在列,那就繼續(xù)老套路�����,下面列舉該rootkit的行為及解決辦法
釋放文件��,該文件為徹底隱藏狀態(tài)
C:\Windows\System32:lzx32.sys
創(chuàng)建隱藏服務(wù)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
躲避部分rootkit查殺工具
流氓行為(極盡其能事��,我就不列舉了)
賽門鐵克的解決辦法:
1��、關(guān)閉系統(tǒng)還原
2��、用系統(tǒng)安裝盤啟動�,進(jìn)入系統(tǒng)控制臺,關(guān)閉其服務(wù)pe386
3���、正常啟動并進(jìn)入安全模式下�,用最新毒庫的賽門鐵克產(chǎn)品全盤掃描��,此時的結(jié)果是已經(jīng)刪除了C:\Windows\System32:lzx32.sys
4��、刪除其注冊表服務(wù)信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
5�、清除系統(tǒng)臨時文件
此時�,已經(jīng)完畢��,個人認(rèn)為此舉可能有為賽門鐵克產(chǎn)品宣傳之說�����,由于病毒庫的局限性����,可以參考下面的辦法
利用rootkit查殺工具的解決辦法
1、使用一些rootkit查殺工具����,比如常見的
RootkitRevealer、BlackLight��、Rkdetector����、gmer.exe�、endoscope.EXE、DarkSpy����、Anti-Rootkit
例如在上面提到的piaoxue.com����,gmer.exe就能很好的解決掉它�,畢竟是小工具,作者更新頻繁�,操作上也比較簡單
2、刪除系統(tǒng)臨時文件�、注冊表信息等等
就常見流氓軟件來說,采用這個rootkit的似乎不多��,我倒是第一次見到���,算是開了眼,這個玩意要是泛濫起來�����,對于不明就里的網(wǎng)民們來說�,還是有些恐怖的,畢竟它在hijackthis和sreng日志里沒有半點(diǎn)體現(xiàn)�。
------------------------------------
rootkit技術(shù)
一、什么是"rootkit"��?
入侵者入侵后往往會進(jìn)行清理腳印和留后門等工作��,最常使用的后門創(chuàng)建工具就是rootkit。不要被名字所迷惑����,這個所謂的“rootkit”可不是給超
級用戶root用的,它是入侵者在入侵了一太主機(jī)后��,用來做創(chuàng)建后門并加以偽裝用的程序包��。這個程序包里通常包括了日志清理器��,后門等程序����。同時,程序包
里通常還帶有一些偽造的ps���、ls�、who�����、w���、netstat等原本屬于系統(tǒng)本身的程序��,這樣的話�,程序員在試圖通過這些命令查詢系統(tǒng)狀況的時候���,就無
法通過這些假的系統(tǒng)程序發(fā)覺入侵者的行蹤����。
在一些黑客組織中,rootkit (或者backdoor)
是一個非常感興趣的話題����。各種不同的rootkit被開發(fā)并發(fā)布在internet上。在這些rootkit之中, LKM尤其被人關(guān)注,
因?yàn)樗抢矛F(xiàn)代操作系統(tǒng)的模塊技術(shù)��。作為內(nèi)核的一部分運(yùn)行,這種rootkit將會越來越比傳統(tǒng)技術(shù)更加強(qiáng)大更加不易被發(fā)覺�����。一旦被安裝運(yùn)行到目標(biāo)機(jī)器
上, 系統(tǒng)就會完全被控制在hacker手中了����。甚至系統(tǒng)管理員根本找不到安全隱患的痕跡,
因?yàn)樗麄儾荒茉傩湃嗡鼈兊牟僮飨到y(tǒng)了。后門程序的目的就是甚至系統(tǒng)管理員企圖彌補(bǔ)系統(tǒng)漏洞的時候也可以給hacker系統(tǒng)的訪問權(quán)限����。
入侵者通過:設(shè)置uid程序, 系統(tǒng)木馬程序, cron后門等方法來實(shí)現(xiàn)入侵者以后從非特權(quán)用戶使用root權(quán)限�。
設(shè)置uid程序�。 黑客在一些文件系統(tǒng)理放一些設(shè)置uid腳本程序。無論何時它們只要執(zhí)行這個程序它們就會成為root�����。
系統(tǒng)木馬程序���。黑客替換一些系統(tǒng)程序,如"login"程序�。因此, 只要滿足一定的條件�����,那些程序就會給黑客最高權(quán)限���。
Cron后門���。黑客在cron增加或修改一些任務(wù),在某個特定的時間程序運(yùn)行,他們就可以獲得最高權(quán)限����。
具體可能通過以下方法給予遠(yuǎn)程用戶以最高訪問權(quán)限: ".rhost" 文件, ssh認(rèn)證密鑰, bind shell, 木馬服務(wù)程序��。
".rhosts" 文件����。一旦 "+ +"被加入某個用戶的.rhosts文件里, 任何人在任何地方都可以用這個賬號來登陸進(jìn)來而不需要密碼�����。
ssh認(rèn)證密鑰����。黑客把他自己的公共密鑰放到目標(biāo)機(jī)器的ssh配置文件"authorized_keys"里, 他可以用該賬號來訪問機(jī)器而不需要密碼���。
Bind shell���。黑客綁定一個shell到一個特定的tcp端口。任何人telnet這個端口都可以獲得交互的shell��。更多精巧的這種方式的后門可以基于udp,或者未連接的tcp, 甚至icmp協(xié)議��。
Trojaned服務(wù)程序�����。任何打開的服務(wù)都可以成為木馬來為遠(yuǎn)程用戶提供訪問權(quán)限。例如, 利用inetd服務(wù)在一個特定的端口來創(chuàng)建一個bind shell���,或者通過ssh守護(hù)進(jìn)程提供訪問途徑���。
在入侵者植入和運(yùn)行后門程序之后, 他會設(shè)法隱藏自己存在的證據(jù),這主要涉及到兩個方面問題: 如何來隱藏他的文件且如何來隱藏他的進(jìn)程���。
為了隱藏文件, 入侵者需要做如下事情: 替換一些系統(tǒng)常用命令如"ls", "du", "fsck"����。在底層方面, 他們通過把硬盤里的一些區(qū)域標(biāo)記為壞塊并把它的文件放在那里�����?��;蛘呷绻銐虔偪?,他會把一些文件放入引導(dǎo)塊里��。
為了隱藏進(jìn)程, 他可以替換 "ps"程序, 或者通過修改argv[]來使程序看起來象一個合法的服務(wù)程序�。有趣的是把一個程序改成中斷驅(qū)動的話,它就不會出現(xiàn)在進(jìn)程表里了�。
