扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
今天真是个值得记住的日子,和一个病毒的战斗,从上午一直到下午,唉,老了。。。不过,这个鬼东西还是很有点意思的,写下战斗的整个过程,与各位共享之,也希望能帮到和我一样情况的朋友们。灰鸽子也就是backdoor.gpigeon。
事情的起因,昨天晚上我在看易中天的品三国呢,突然跳出来一个窗口,访问的是这个网址: (如果访问需小心中毒!)
我就想看看是什么情况,就看了一下代码,是加密的,解密后如下:
后面的代码我就不帖完整了,反正是个恶心的人,估计想盗QQ密码,也怪我自己,一时起了好奇心就把这个病毒下载下来,关了防火墙后运行了一下,觉得不声不响就让我中招了也有点儿意思,想看看到底会怎么样。当时没什么反应,用w32dasm也没看出来什么,当时很晚,也就睡觉去了。
早上打开电脑开始准备工作时,好戏开始了。。。
首先是explorer.exe报错,关闭,接着是病毒防火墙开始哼哼了,说有XXX病毒,我也没在意,就让杀毒软件杀了,结果不行,卡巴不行,又试了360安全卫士,看看是不是什么流氓插件搞的鬼。结果报注册表里有问题,服务里也增加了新的未知服务,但都不能修复。
我就进了安全方式,用卡巴和360杀。。。。不行。。。
这下子我兴趣来了,看看到底怎么了,打开进程管理器,发现有两个smss.exe,其中一个的pid很高,不用说,肯定就是它搞鬼了,终止!
再用卡巴杀,OK了,都可以清除了。
偶就开始上网,准备工作,没一会,QQ又出错了,而且,那个鬼网站又弹出,我知道问题没有那么简单。。。。病毒肯定还在。
但是进程里已经没有什么不对劲的地方了,我想到,应该是用的dll注入。。。。
进入安全方式,卡巴已经报说服务已经出错,不能运行!这时候我想到,应该是中了比较厉害的木马了,有反杀毒软件能力,这时我想起了灰鸽子、广外女生。。。。
于是我卸载了卡巴5,装了卡巴6,这时候只想早点开始工作。。。。
卡巴6升到最新后查出了system32目录下有lsass.dll 和 lsasskey.dll 还有若干exe文件,一看名字,果然灰鸽子嘛。。。。
这肯定是一个新的版本,因为2005版的鸽子以前宰过。
回想了一下,连同我自己发现的,大概有这么一些文件是有毒的:
windows 与 system32目录下的 .com文件 ?.exe iexplorer.pif、scvhost.exe 。。。。。
system32\drivers\下的 smss.exe lsass.dll lsasskey.dll lsass.exe
还有其它一些,现在已经记不得了,大概一起至少有20个左右的病毒文件,其中还打包了盗QQ的程序。
病毒还改变了exe文件的打开方式,导致系统里很多程序在杀除部分后不能运行,每次我都要手动修复注册表。
(regedit.exe 要改成regedit.com才能用)
我先用天网禁止了系统进行如rundll32 explorer.exe访问网络,免得数据和密码泄漏。然后用卡巴开始杀!
lsass.dll和lsasskey.dll每次都说重启后杀除,但实际上杀不掉。
我上网找了一下,在卡卡社区里看到了类似的案例,但我没想到,我遇到的这个更麻烦。。。。
按网上说的,安全模式下,我准备手动清除,没想到,在卡马提示的目录下,居然没有这个文件,而且过一会后,系统很多目录都提示没有权限访问,这个臭鸽子,竟然连系统的api都监控了,又恨又佩服作者,净搞这些个无聊的事。
这时候,网上的办法已经没有什么帮助了,下载的瑞星的专杀工具也检测不到。。。
我开始了第二阶段的战斗:
拿出了98的光盘,在DOS模式下,用 dir /a 命令见到了在system32\drivers目录下的这些鬼,用deltree清理,这时已经下午了。删除完后,觉得应该没问题了,重启一下去吃东西了。。。给这家伙害的中饭还没吃呢。。。。
等吃点东西回来一看,卡巴又说发现了lsass.dll 和 lsasskey.dll,我郁闷!!
看来,应该是用了驱动技术加载了病毒,真是烦啊,没办法,开始找我的工具。。。。。
准备武器如下:filemon regmon hijackthis icesword killbox sreng2( system repair engineer)
老子拼啦! -_-
PS:icesword运行出错,不知道是不是鸽子捣乱的,唉它现在已经加入了Rootkit.Vanti,真不知道下一个版本。。。。
下面是杀除的具体过程:
先用process explorer 找到了smss和windows下的scvhost.exe,结束掉。
运行了一下,原始的病毒文件,用filemon 和 regmon 记录了一下所产生的文件和修改的注册表。使用用killbox删除,看不到的重启到dos下删除,接着修复注册表中exe的打开方式,及与IE相关的一些设置。停止假scvhost开启的服务。
至于驱动方式启动的病毒文件,sreng2里找到了不少,现在记不清哪些是鸽子的了,不过,\??\开头的大家就要注意看,我是只要可疑的都干掉了。。。
重启后,用卡巴6杀掉了一些“残兵”(因为前面没有做记录和截图,所以只有这里我附了一个图片,大家可以看一下。),系统终于恢复正常了。。。。后来又用360安全卫士修复了一些设置,已经快到下班的时间了。今天算是献给了亲爱的鸽子了。。。。
不过,我后来想,如果用系统还原应该也可以,不过前提是先把染毒的文件清除,再做系统还原,也应该是一样的效果。
如果有什么错漏的地方,还请各位朋友指正,相互交流。
题外话:鸽子做到这种程度,再说自己是什么合法软件未免可笑,加载的这些驱动,开启的服务都会引起系统的不稳定,这种行为低劣病毒,实在不应该穿着合法的外衣了。。。。
搜索帮助: 灰鸽子专杀 手动清除灰鸽子 灰鸽子清除 lsasskey.dll病毒 lsass.dll 怎么办
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者