以身试毒:测试冰河5.5LFP病毒感染专版(2)
转自天极网
现将其“人无我有”的优点逐一“公开表扬”:
(A)该启动方式是见所未见、闻所未闻:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsdurrentVersionRun]
C:WINDOWSSYSTEMsystem32.dll
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsdurrentVersion
RunServices]
C:WINDOWSSYSTEMsystem32.dll
如果不知道system32.dll是木马文件,从常规途径查木马,是永远无法清除。
(B)该木马将DLL文件和LFP文件的打开方式转化为直接执行,在木马史上也极其罕见。(图4
VS 图5,前者是种上木马文件的系统,后者是已恢复注册表的系统)
图四
图五
(C)对于自启动“木马进程”lfp.dll来说,更是一个幌子!
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"system"="lfp.dll"
开机后马上以Windows优化大师自带的Windows进程管理工具查看进程,只发现system32.dll
进程存在;甚至我打开木马所在目录,多次双击运行lfp.dll,进程管理工具列表经多次刷新,却
没有发现lfp.dll进程存在。再对比它与另外三个木马文件的大小,大致可判定lfp.dll并非真正
的木马,只是一个掩人耳目的骗局。当受害者发觉后,将注意力集中在lfp.dll身上并采取一系列
措施时,真正的木马system32.dll就可以高枕无忧,继续偷偷运行,在适当时候由客户端实施滋
扰和破坏。
(D)使所有无关联的文件打开方式直接调用tel.lfp,为木马的复活埋下伏笔。(将tel.lfp丢到
回收站,无关联的文件如VXD、DEF、DAT等就无法打开了。图6)
图6
……
木马复活:
既然该木马一分为四(lfp.dll、lfp.exe、tel.lfp、system32.dll),我们且看看该木马的
复活能力.
测试方式是在注册表不改变的情况下删除三个保留一个并双击运行之,查看哪些木马文件重
新生成,并观察进程列表看哪个程序驻留。
(1)保留lfp.dll并双击运行之,不见其它三个木马文件复活,而lfp.dll并不驻留在进程列
表中;对应上文,再次证实lfp.dll并非真正的木马,只是一个掩人耳目的幌子;
(2)保留lfp.exe并双击运行之,马上生成两个木马文件tel.lfp、system32.dll,且
system32.dll驻留在进程列表中;
(3)保留tel.lfp并双击运行之,马上生成木马文件system32.dll,且tel.lfp驻留在进程列
表中;
(4)保留system32.dll并双击运行之,马上生成木马文件tel.lfp,且system32.dll驻留在
进程列表中
回头再看看作者的介绍和站长的评论,我很想知道这个冰河5.5究竟感染了哪些EXE文件。
这时,我们就可以依靠微软的法宝——SFC(系统文件检查器)来检验哪些文件被改动过。
在测试前,我已将SFC设置为最严格的标准:增加检查已修改的文件、范围是系统目录
WINDOWS和Program Files,同时包含所有子文件夹。先以SFC扫描全系统,并且选择为“更新所有
已更改文件的验证信息”。扫描完成后,运行冰河5.5,再以SFC扫描全系统,结果如下(它成功
捕获了lfp.dll、lfp.exe、system32.dll的增加,只差没有查到tel.lfp。图7)
图7
由此可知,该“冰河5.5”并没有像作者的介绍和站长的评论一般附加、捆绑、覆盖取代
WINDOWS的系统文件。所以,只要全部删除木马文件,并将已改动的注册表逐一修复,是可以安全
清除且没有后遗症的。
至此,木马文件和所作改动已分析完毕,就让马儿从哪来就回到哪去吧。
(甲)杀马
选择lfp.dll、lfp.exe、tel.lfp、system32.dll并使用SHIFT+DEL,永久性删除!
(乙)修改注册表
运行REGEDIT,修改注册表:
(1)
[HKEY_CLASSES_ROOT*{删除}Shellopencommand]
C:WINDOWSSYSTEMtel.lfp %1
[HKEY_LOCAL_MACHINESoftwareCLASSES*{删除}Shellopencommand]
C:WINDOWSSYSTEMtel.lfp %1
(2)
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
{删除}durrentVersionRun]
C:WINDOWSSYSTEMsystem32.dll
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows{删除}durrentVersionRunServices]
C:WINDOWSSYSTEMsystem32.dll
(3)
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
{删除}lfp.dll
(4)
[HKEY_CLASSES_ROOTdllfile{删除}shellOpenCommand]
"%1" %*
[HKEY_LOCAL_MACHINESoftwareCLASSESdllfile{删除}shell
OpenCommand]
"%1" %*
(5)
[HKEY_CLASSES_ROOT{删除}.lfp]
lfpfile
[HKEY_LOCAL_MACHINESoftwareCLASSES{删除}.lfp]
lfpfile
(6)
[HKEY_CLASSES_ROOT{删除}lfpfile]
http://lffffp.yeah.net
[HKEY_CLASSES_ROOT{删除}lfpfileDefaultIcon]
C:WINDOWSSYSTEMshell32.dll,-154
[HKEY_CLASSES_ROOT{删除}lfpfileshellOpenCommand]
"%1" %*
[HKEY_LOCAL_MACHINESoftwareCLASSES{删除}lfpfile]
http://lffffp.yeah.net
[HKEY_LOCAL_MACHINESoftwareCLASSES{删除}lfpfileDefaultIcon]
C:WINDOWSSYSTEMshell32.dll,-154
[HKEY_LOCAL_MACHINESoftwareCLASSES{删除}lfpfileshell
OpenCommand]
"%1" %*
在本文即将完成之时,我联系上作者LFP并就“病毒感染EXE文件”一事向他咨询。LFP回答:
*********************************************************************
随风飘飘任逍遥,您好!
呵呵.大体没错.
如果你真的是用的病毒版,它将还感染随机器启动的exe文件,把自己插入其中.
你把这些删除,而没有删除感染文件,如果重启没有啦,哪就可能不是病毒版.
非病毒版的,都让你找出来啦.
随风飘飘任逍遥,您好!
如果是病毒版应该感染***标志的软件.
原理:把木马插入EXE文件.运行时释放木马并运行.(汇编插入,不是捆绑,你如果会编程,就知道之
间的区别).
当然,木马很大,宿主也会变大的.(cih很小可以插到程序的缝隙中,木马不行,呵呵.太大...).
你的删除方法很对,覆盖感染文件即可.
*********************************************************************
从作者的解释中可以知道,即使是病毒版冰河,也只是汇编插入某个随机启动的文件中,使
之随电脑启动而释放木马并运行,且无法从常规反木马途径查出来。但是,在系统目录下,只要
是更改过的文件,是无法逃得过SFC的扫描。当发现某文件被附加或捆绑上木马,只要以正常文件
覆盖感染文件即可解决问题。
在没有更佳的办法以前,进程查看和中止依然是手工查杀木马行之有效的手段。
杀马须狠,斩草除根。野火烧不尽,春风吹又生。
请各位朋友谨记了。
最后,我要特别感谢木马作者LFP和金山毒霸讨论区版主maldinilbx在测试过程中提供的技术
支持,再一次感谢他们给予我的无私的帮助以及支持!在此致以真诚的感谢!
