0257期:木馬屠城(矛與盾的戰爭)

作者:CGS •  日期:2008/01/25  •  類別: 技術新探 ;•Friendly Print ;•

  

前一陣子 ,網站的電腦因為我測試一些來自網路的執行檔 ,後來電腦就變成 100% 負載 ,本來我用工作管理員看了一下高負載的程式是 mysql 跟 apache 的程式 ,就沒有特別去注意 .本來以為大概是網路存取增加吧 .

後來狀況一直持續 ,我也從我的寄信信箱中收到發信延遲或失敗的訊息 ,不過寄信內容是色情廣告信 ,信箱地址也不知道是那來的 ,我想我大概中了網路的木馬程式, 讓電腦中毒了 .他也透過本機的 Melon SMTP Server ,轉寄信件 ,所以我會看到很多奇奇怪怪的信 .

這隻來自德國的病毒 WINTEMS.EXE使用了蠻多技術躲過一般使用者的觀察 ,他採用了Rootkit 的隱形技術 ,讓你不管用工作管理員或是直接進到目錄 DIR 都看不到程式 ,後來是用 netstat -b -o 觀察有使用網路通訊的程式,才看到程式的名稱 .特別的是用 taskkill 或 ntsd 都無法殺掉這個程序 ,更不要說刪除或搬動檔案 .

我當下選擇先用 Google Pack 的 Norton Security Scan 跟 SpyBot Doctor ,安裝後 ,系統卻告訴我這不是正確的 Win32 應用程式 ,原來他也順便監控了寫檔的動作 ,如果是反病毒或反 Rootkit 的著名程式 ,他在寫檔時會把執行檔改掉 ,讓程式無法執行 .

最早安裝可以看出這是什麼病毒的是 Prevx CSI ,不過他掃描是免費 ,除毒要收費 ,後來找了一陣子找到 RegRun 5,可以試用 30 天 ,他有在開機時監控所有載入程式的能力 ,逐步把 Wintems.exe , hldrrr.exe, srora.sys 先殺掉 ,讓防毒軟體可以安裝 .也將被綁架的軟體如 MySQL , GoogleToolbarNotifier 除毒 .

因為不是一直都有空來處理這些事 ,整個過程花了幾天才完成 ,大概這也算是我遇到病毒裡比較難纏的一種了 ,木馬屠城只是因為一時無心之過 ,不過這次矛盾戰爭 ,也看到了超強電腦病毒進化的速度 ,不過或許是作者猜想不會太久就會被發現 ,負載和錯誤信的比例太高 ,否則如果緩慢的作業 ,或許一般使用者還很難發現 .

« 上一篇文章下一篇文章 »

Add this page to MyShare  Add this page to Hemidemi  Add this page to Yahoo  Add this page to FunP  Add this page to udn  收藏到Fiigo書籤  加入此網頁到 YouPush  Diigo it  Add this page to del.icio.us
引用
目前沒有任何引用.
使用 引用文章網址l 來通知本網站關於您的引用文章(按右鍵,複製捷徑).
引用本站文章需經過人工審核 ,所以如果你的引用沒有馬上出現 ,請稍待站長處理 .
如果你的部落格不支援引用 ,你可利用 此視窗手動加入你的引用.

留言

作者: Joy  •  2008/02/04  •  00:50:23

您好,非常冒昧打擾。
我遇到了和本篇描述非常類似的病毒,現在給搞得焦頭爛額。能不能麻煩您指點一二?
目前的進展是,用winpe登入,手動刪除Wintems.exe、hldrrr.exe、srora.sys,以及一個sp開頭隨機生成的sys文件。但是重啟后又出現了,導致殺毒軟件仍然不能運行。安裝了regrun5,不過好像它也刪不乾淨……望指點迷津,不勝感謝。
我的msn:cyjoy@163.net
email:joyfuljoy@gmail.com
btw:我是通過google搜到您的blog,我自己的系統是簡體的,如語言習慣或措辭有不妥之處還請見諒。

作者: CGS  •  2008/02/04  •  14:21:38

關於移除這隻 Wintems.exe 病毒 ,這隻病毒蠻難纏的 ,有些地方沒有記的很清楚,我只記得可能要切進安全模式 ,看看 RegRun5 每次開機的監看 ,有看到相關的 .exe .sys 都要移除 ,因為是彼此間相互保護 ,有時你會發生刪除了 A , B ,但是 C 還在的情形 .

我後來系統也安裝了 AVG Free 7.5 ,Norton Security Scan 和 Spydoctor 的防毒軟體 ,慢慢裝上反毒軟體 ,再做全系統掃描 ,

你也可以安裝 Sophos 的免費反 Rootkit 工具 ,不過防毒軟體都要先等 RegRun 有清除一部份才裝得上去 ,你可以先用 Prevx CSI 看看中毒有那些檔案 .再慢慢處理 .

作者: Kuon  •  2008/02/14  •  14:46:09

"無法刪除或搬動檔案".... 執行中的程式本來就不行阿....下次有機會請嘗試更改檔案名稱.

作者: CGS  •  2008/02/16  •  20:28:11

主要是因為無法刪除這個執行中的程式 ,他有防止一般程式如工作管理員中斷的能力 ,我想大概不希望再發生一次吧 .

作者: JACK  •  2008/03/11  •  14:48:19

這個病毒會把所有防毒軟體破壞,變種種類蠻多的,目前我知道的方法是先進入安全模式,用uedit32打開四個病毒程式檔Wintems.exe、hldrrr.exe、srora.sys,mdelk.exe(雖然隱藏了,但可以打開),
病毒因為變種過後無法如上樓所言直接刪除,用uedit32打開檔案後,修改病毒程式碼,破壞程式碼之後存檔,在用一般模式開機,會發現病毒試突載入但失敗了,下載Tcpview可以觀查所有連線ip的動作看看是否病毒還在運作,安裝防毒並且殺掉病毒(因為病毒無法載入所以防毒軟體可以運作)

作者: JACKHO  •  2008/03/11  •  14:54:08

病毒變種後無法改名無法直接刪除,Wintems.exe,hldrrr.exe,srora.sys,hldrrr.exe,四個檔案進入安全模式,使用UltraEdit-32去修改病毒檔內容,使病毒下次正常開機無法運行
在安裝防毒軟體殺病毒
病毒有無作動可用Tcpview觀查

作者: CGS  •  2008/03/12  •  07:59:31

To Jack & JackHo :
謝謝你的建議喔 :) 當時沒想過這種方法 ...原來 UltraEdit 可以這樣寫檔 .

作者: stupid  •  2008/04/07  •  17:55:58

先謝謝諸位賢拜啊, 獲益良多.

我這邊無法進入安全模式,

由於硬碟上還有xubuntu,

進xp的分割區, 直接殺掉四個檔,

會不會成功, 待會重開機就知道了...

作者: Barcode Printer  •  2008/05/26  •  14:22:41

"無法刪除或搬動檔案".... 執行中的程式本來就不行阿....下次有機會請嘗試更改檔案名稱.

作者: yintze  •  2008/08/23  •  09:04:47

燒一片 Ubuntu Live CD (http://www.ubuntu.com/getub...) ,用此 CD 開機,可以打開 C: 磁碟機,進入 C:\Windows\System32\Drivers 就可以很乾淨殺去這些檔案。

作者: CGS  •  2008/08/29  •  10:40:07

To Yintze:
這也是另一種思考方式 ,用另一個可以讀寫 NTFS 的作業系統去殺掉這些檔案 ,謝謝你喔 :)

留下你的意見