屠“马”心得前几天,在乡下表哥家玩,农村里经常停电,好不容易等到来电,迫不急待地打开QQ与MSN,心里直嘀咕:终于可以爽爽了,可把偶给憋坏了。没想到QQ一开就弹出N个留言,其中一个第一句是“唉”一声叹息,第二句是“我把ERP服务器搞倒了”,信息是在广东一工厂当网管的老友发来的,问情况才知道老友在ERP服务器上装了个WinZip重启后问题就出来了,所有保存在硬盘上的可执行文件无法执行,当然也包括Windows系统自带的命令,例如RegEdit,CMD等等。经验与直觉告诉我服务器肯定感染了病毒或木马,并且修改了注册表,限制了一些系统命令的使用。因为是ERP服务器,熟悉工厂情况的朋友都知道如果ERP服务器瘫痪将会给工厂造成多大的影响与损失,情况不太乐观,看来不能袖手旁观了,于是决定帮朋友清掉这害群之“马”。 通过终端服务远程登陆进目标机器,发现是Win2000 Server,点开始菜单运行Cmd与RegEdit均无法执行,也无法将注册表文件导入系统,调出系统进程管理器,不看不知道,一看吓一跳,可怜这台服务器已然成了规模可观的“世界良种马养殖基地”,进程中有多个svchost服务与rundll32,仔细一看竟然有一个进程叫svchsot.exe,另外发现有几个不正常进程,一个是radmin,一个是slave.exe,一个是mscolsrv.exe,还有一个250.exe。看名字就知道radmin肯定是世界知名的远程控制软件Remote Administrator,由于是ERP服务,不敢轻举妄动,于是问朋友radmin与slave.exe是否由他本人装上的,朋友回答不知道,可能是ERP公司给他们装的,因为ERP服务器是由那个公司负责维护的。没得到什么信息,只有放手一博了。
好了,根据上面的特点就可以把嫌疑进程初步锁定,svchsot.exe,slave.exe,mscolsrv.exe,250.exe与radmin.exe,于是试着用Windows的进程管理器结束这几个程序,发现这几个进程均无法结束掉。打开控制面板-》管理工具-》服务,发现了系统中有Remote Aadministrator与MSCoolServ两个服务在运行,手工停掉这两个服务,然后把服务改为禁用状态。再调出进程列表,发现mscolsrv.exe与radmin.exe这两个进程没有了,要在要做的就想办法结束掉其他的几个进程,由于剩下的进程没有注册为系统服务,任务管理器又无法结束掉进程,就只有借用外部的功能更为强劲的进程管理工具来杀掉这些顽固进程,但是由于病毒修改了注册表,致使保存在硬盘中的所有可执行文件无法执行,那么现在要做的就是如何解除注册表锁定,好让我能借助工具让这些系统混混滚出去。
言归正传,进入提供在线修复功能的网站解除了注册表锁定,现在可以运行任何程序了,上传了3个小工具:pslist.exe、pskill.exe、srvinstw.exe。第一个工具是在命令行列出系统进程,第二个根据进程PID杀掉进程的工具, 由于对此病毒一无所知,所以只有去互联网搜索相关信息,在Google搜关键字svchsot.exe与mscolsrv.exe,发现确实有这种病毒,是最近1月份才被国内杀毒软件厂商查杀的新病毒。由于找了多篇文章都没有最为详细的描述,所以我将结果综合了一下: 病毒名:W32/RAHack 或BKDR_RASBA.?(不同厂商命名不同) 病毒通过远程破解radmin弱口令的方式或利用远程溢出漏洞来攻击Remote Administrator服务,弱口令列表如下:
病毒生成文件:
病毒修改的注册表键值:
看完这些资料终于明白为什么清除干净后重启系统病毒又复活的根源所在,病毒在感染系统后会扫描硬盘所有分区上的扩展名为htm的文件,找到一个htm文件就将自己命名为相同的文件名,但扩展名为exe,然后在htm文件里加入代码,调用这个病毒副本。比如在D盘发现一个ABC.HTM文件,病毒就将自己的复制过去,并且命名为ABC.exe,然后修改htm文件调用ABC.exe,并且每找到一个这样的文件就在注册表里面加入一个键值指向这个文件,也就是在上面的HKEY_CLASSES_ROOT\CLSID\[random CLSID]位置加入随机的键值指向这个文件,然后在注册表里和Shell关联,HKEY_CLASSES_ROOT\exefile\shell\open\command,这样每执行一个程序或打开一个HTM文件,病毒就再次激活。 于是再次重复先前的步聚,解锁注册表-》结束病毒进程-》停掉服务-》搜索并删除病毒文件-》卸载病毒服务,删除注册表中先前已知的关键字。由于考虑到病毒可能在注册表中加了太多的随机 CLSID,用RegEdit一个一个删的话肯定会“独自流泪到天亮”,于是装上Registry Crawler,这个工具可以一次性在注册表中找出所有含有关键字的键值,用此工具再次搜索结果发现竟然有600多个sysser,也就意味着病毒在硬盘里有600多个副本。然后将先前没有发现的与syshid.exe有关的键值全部干掉,然后删除syshid.exe文件。再装上卡巴斯基服务器版,将病毒特征库更新,再整个硬盘彻底查杀。果然不出所料,杀掉几百个病毒副本。至此,此活蹦乱跳的劣马才彻底被轰出系统。 附:杀毒软件使用经验谈: 一、有些朋友经常抱怨自己的反病毒软件办事不力,能查到却杀不掉,其实这怨不得反病毒软件,此种可以查却杀不掉的情况多半是因为病毒正在系统中运行,而运行中的进程文件是受操作系统保护不可以删除的。这时只要手工用工具结束掉相关进程就可以杀掉或删除了。 二、病毒文件可以查杀,每次都可以在硬盘中杀掉一大堆,但无法彻底杀干净,重启系统后病毒又如同“特洛伊归来”般浩浩荡荡。如果全怨杀毒软件也实属牵强,毕竟杀毒软件没有人工智能,像刚才这种病毒,在注册表中到处留下激活机关,只要存在漏网之鱼就有可能野火烧不尽了。 三、怀疑是病毒或明明知道是病毒,并且觉得杀毒软件当时的病毒特征库已经可以查杀该病毒的情况下,杀毒软件却无动于衷地任系统感染上了病毒。这时暂且先别抱怨你手中的武器,最好先用壳扫描工具扫描一下病毒文件或可疑文件是否已经过改造过或加了壳。如果确实有加壳,可先用脱壳工具将披在马身上的羊皮给揭了再用杀毒软件试试。 |
|