作者:网络安全日志 ( www.nslog.cn )
日期:2006/10/20 ( 转载请保留此申明)
10/26更新说明:23号开始陆续有用户反应飘雪用专杀工具杀不掉,经过分析,飘雪的作者做了升级,特征是驱动文件还有一个同名的.dll文件。目前所有专杀无效,通过试验,手工办法还是可以清除的。特更新
一、概述
近来中了piaoxue.com和feixue.com招的用户很多,一直在想办法收集样本,今天终于下载了一个病毒包,里面有七八个流氓软件,其中有一个就是飘雪(现在流氓软件服务真好,买一送十)。以身试毒,把常有的武器都用上了,基本把它的思路分析清楚了。
二、过程分析
程序安装的时候,会首先检查有没有安装(HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX),如果安装过了,就直接退出。所以可以根据这一点来免疫。
接着检查是否安装了虚拟机(通过检查HKLM\Software\VMware,Inc.\VMware Tools值),如果安装了,则直接退出。这点主要是防范系统调试人员,如果在虚拟机上安装,就退出。看来paoxue的作者真是用心良苦啊! 不过我一向都不使用虚拟机,呵呵。
它没有采用BHO这种流氓也容易被杀的方式,通过随机生成一个驱动,安装驱动到(%system%\system32\drivers目录下。我安装的过程生成的eugnxqcx.sys和wllcnlke.sys。[新版的会在system32目录下生成一个同名的.dll文件-10/26更新]
驱动加载后,通过生成两个线程附加到system这个系统核心进程上,获取最高权限。
通过Process Explorer可以查看到这两个线程:
这两个线程一直不住地检查注册表(
HKLM\SYSTEM\CurrentControlSet\Services\)下自己这个驱动的值,如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉,会提示没有权限。另外用冰刃(IceSword)这个工具也可以看到,但是杀不掉。。汗。。。
看来它的驱动保护做的还是不错的,难以杀掉的原因是对文件以及进程都做了保护。我介绍的《顽固文件删除终极武器》,用金山文件粉碎器,打开的时候提示无法打开文件。很少会遇到的一种情况。
因为驱动是属于Boot Bus Extender组的,在操作系统加载时就会被加载,所以即使安全模式下也会加载,所以到安全模式下删除也是无效的。
看得出来飘雪为了防范目前的杀流氓软件工具,下了不少的工夫,已经试验过的多种工具无效:
IceSword删除驱动文件无效,Procexp,IS中止进程无效,金山文件粉碎器删除文件无效(而这几个是我前不久在试不爽的,还大力推荐的。。。faint..)
不过魔高一尺,道高一丈,知道了原理和过程之后,离解决也不会太远,,下面介绍一下杀它的办法(亲自试验,不需要重启,力求简单,菜鸟也可以操作)
三、清除办法:
1、找出驱动来
用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护
》,我们今天就来实战一下。运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。扫描之后,我们只看驱动(driver)这一项:
可以看出来,它是假冒微软的驱动。这个驱动虽然写明是微软的,但是没有经过微软的数字签名,所以肯定是假的。(可能你的机器上显示特别多,但所有非微软的,都是有问题的),因为是随机生成的文件名,所以你那里找出来的,可能跟我的不一样。请自己记下文件名。特征是8位随机的字母,并且公司是微软公司,但是显示(Not verified),如果你这里不能确认,可以用下面的办法。
2、用procexp找出驱动名来
运行procexp,(下载地址见最后),找到system这个进程,然后点右键——属性(Properties)——线程(Threads),然后把下面的框子拉到最后,看有连续两个,比较无规则的八个字母的驱动,再跟autoruns对一下就可以确定是哪个驱动了。(见第一张图)
3、删除文件
因为文件有驱动保护,这里虽然找到线程的名字,但是无论是Procexp还是IceSword都无法中止这个线程(如果你有好的办法,麻烦告诉我一下,谢谢)。另外本人写的文章里面的关于删除顽固文件的,对付这种有意防范的,也是无效的。经过亲自试验,目前有两个办法可以删除这个文件:
方法一:用Unlocker(下载地址及使用方法见最后的文章)
找到c:\windows\system32\drivers目录下,找到刚才的那个驱动文件,点右键——Unlocker,然后在出来的对话框中,也会显示有一个sytem进程占用了,点那个“Unlock“。然后再在文件上Unlocker一下,这时显示已经没有其它进程在使用这个文件,用它的Delete功能,点确定便可。这样文件便删除了。[请在system32目录下查找同名的.dll文件,如果找到,一并用这个办法删除]-10/26更新]
方法二:还是用Procexp
在Procexp中,先按Ctrl+H,切换到Handler视图,然后按Ctrl+F,查找,输入刚才的驱动名字(可以只输入前几个字母),然后就可以看到在system这个进程中有一个文件,在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件,删除便可。 [新版这个方法删除不掉那个同名的.dll,请用上面的办法—10/26更新]
我相信如果paoxue的作者看到这篇文章,可能会做一些升级或者改变,使上面的方法无效(因为它明显已经针对IceSword这几个出名的软件做了防范),但是万变不离其宗,如果那个时候,就先用autoruns/procexp找到相关的驱动文件,然后安装一个虚拟软驱,到DOS下去删除这个文件,那个是最后终极的办法。[针对新版也有效]
我写这篇文章,主要针对一些新手,所以尽量不要重启以及做复杂的操作。
删除上面的.sys文件之后,为了安全起见,重启一下,然后再重新设一下IE的主页,应该就可以了。至于那个Seriver的值,删不删都无所谓了。
四、其它
针对飘雪的免疫办法:
在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一个SearchPlugInX的DWORD值,然后任意输入一个值,这样飘雪就不会再安装了。
如果上面的方法无效,请与我联系,可能会有升级的版本。但是以上介绍的所有办法,在我的文章都已经提到了。流氓软件横行年代,自己都得学会一点保身之术,呵呵。
另外感谢MJ0011,通过他的文章也受益菲浅。
五、参考及工具下载
piaoxue/feixue驱动程序分析(by MJ0011)
http://bbs.360safe.com/viewthread.php?tid=13994&extra=page%3D1
釜底抽薪:用autoruns揪出流氓软件的驱动保护
http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html
[惊天大发现]顽固文件删除终极武器
http://hi.baidu.com/nslog/blog/item/c4ad8dcb2c7b98fd53664f73.html
清除流氓软件的第一利器(IceSword)
http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html
如何删除顽固文件之流氓软件篇
http://hi.baidu.com/nslog/blog/item/c25b1ddfce78a11362279868.html
Process Explorer官方下载
http://download.sysinternals.com/Files/ProcessExplorerNt.zip
AutoRuns官方下载
http://download.sysinternals.com/Files/Autoruns.zip
