发布于:2007-06-01 12:19:01
来自:建筑设计/CAD下载及教程
[复制转发]
使用电脑过程中硬盘一阵狂转后,刚刚还正常运行的软件程序,如QQ、杀毒软件、网络防火墙等纷纷关闭,系统资源也突然升到100%,很明显系统中病毒了。重新启动系统后在还没有进入系统桌面时,杀毒软件的BOOTSCAN即开始对系统文件进行杀毒。
果然,杀毒软件提示用户系统中存在病毒,并且已经清除,从病毒名称“PSW.MiFeng”已经看出该病毒就是蜜蜂大盗木马。既然病毒已经清除,也进入了系统,程序也正常运行,但系统的速度依然非常缓慢,而且会越来越慢。怀疑是木马没有被完全清除,尝试自己手工清除。
查找可疑文件
一般情况下,感觉自己的系统中了病毒或木马程序后,我都会查看系统的端口和进程。在任务栏上点击鼠标右键,选择“任务管理器”命令打开任务管理器。经过仔细地查看,发现一个名为“csrss.exe”的可疑进程。本来该进程应该是系统进程的,但问题是在任务管理器的“用户名”项目中显示的是登录用户的名称,而非正常情况下由SYSTEM加载的。
另外,任务管理器中还有一个“csrss.exe”进程,它的加载用户就是SYSTEM,由此可见第一个csrss.exe肯定有问题。怀疑该文件可能是其他的恶意程序,而并非蜜蜂大盗的服务端程序,我再通过它打开的端口来进一步验证。
运行IceSword(下载地址:http://soft.hackbase.com/50/20051001/7821.html),在弹出的主界面中点击“端口”按钮,在列表中的“进程程序名称”中找到“csrss.exe”这个进程。由于有两个同样名称的进程,所以只能从进程的路径来判断哪个是可疑的csrss.exe进程。真正的系统进程csrss.exe是在系统的system32目录中,而可疑的csrss.exe在system目录中。
接着查看system目录这个csrss.exe进程打开的端口,TCP 2222,从此再一次确认了该可疑进程就是蜜蜂大盗的服务端进程。
彻底清除蜜蜂大盗
俗话说,擒贼先擒王,首先来查找服务端程序的启动项。在开始菜单的“运行”选项中输入“regedit”命令,打开注册表编辑器。点击“编辑”菜单下的“查找”命令,搜索“csrss.exe”这个关键词。在众多的结果中经过排查比较,发现在注册表的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中多出一项名为internet的键,启动的就是蜜蜂大盗的服务端程序,除此以外没有其他的启动项。
删除该启动项,发现它没有再自动生成,说明该木马没有对启动项进行监控。接着通过IceSword的“进程”选项,来结束木马的进程,结果该木马同样没有重生,总的进程数减少了一个,并且TCP 2222端口也已经关闭。
全部回复(1 )
只看楼主 我来说两句 抢板凳原来蜜蜂大盗服务端程序运行后,会先复制自身到system目录,随机以一个系统进程命名,并附加于系统以及定为隐藏属性,然后修改注册表添加启动项。另外,在system32目录下会生成一个“AUTOEXEC.BAT”文件来关闭系统的防火墙功能,以及其他一些常见的杀毒软件和防火墙。
同时蜜蜂大盗会创建多个文件,并且修改默认的屏幕保护程序,使病毒每隔一段时间自动运行。除此以外,木马还会生成isuninst.exe、isun0804.exe、isun0404.exe等文件,替换系统默认的屏幕保护程序,更改TXT文件关联等方法来保护服务端程序,这也是杀毒软件无法将它成功清除的原因。
我首先通过Windows优化大师将更改的关联选项进行修复,然后将我根据时间属性搜索出来的蜜蜂大盗创建的程序全部清除,最后重新启动系统,经检查系统,发行系统运行正常,蜜蜂大盗被彻底从系统中清除了。
虽然“蜜蜂大盗”没有使用线程插入技术、线程监控技术,并且绝大部分杀毒软件都能成功的将它识别,但由于其覆盖面广、启动方法多、名称可变性强,从而出现木马程序无法彻底清除,屡杀不绝的情况。
黄可朋友通过一系列方法没有将其清除,选择通过手工清除的方法进行清除。将木马的启动项和主程序找到后,并没有仓促删除,而是通过该文件的属性查找出其他隐藏的文件,值得大家学习和借鉴。
回复 举报