piaoxue

解决史上最强浏览器劫持www.piaoxue.com/www.feixue.com方案

2006年10月27日 星期五 12:41

作者：网络安全日志 ( www. )
    日期：2006/10/20   （ 转载请保留此申明)

10/26更新说明：23号开始陆续有用户反应飘雪用专杀工具杀不掉，经过分析，飘雪的作者做了升级，特征是驱动文件还有一个同名的.dll文件。目前所有专杀无效，通过试验，手工办法还是可以清除的。特更新

一、概述
   近来中了piaoxue.com和feixue.com招的用户很多，一直在想办法收集样本，今天终于下载了一个病毒包，里面有七八个流氓软件，其中有一个就是飘雪（现在流氓软件服务真好，买一送十）。以身试毒，把常有的武器都用上了，基本把它的思路分析清楚了。

二、过程分析
    程序安装的时候，会首先检查有没有安装（HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX），如果安装过了，就直接退出。所以可以根据这一点来免疫。
    接着检查是否安装了虚拟机（通过检查HKLM\Software\VMware,Inc.\VMware Tools值），如果安装了，则直接退出。这点主要是防范系统调试人员，如果在虚拟机上安装，就退出。看来paoxue的作者真是用心良苦啊! 不过我一向都不使用虚拟机，呵呵。
    它没有采用BHO这种流氓也容易被杀的方式，通过随机生成一个驱动，安装驱动到（%system%\system32\drivers目录下。我安装的过程生成的eugnxqcx.sys和wllcnlke.sys。[新版的会在system32目录下生成一个同名的.dll文件-10/26更新]

    
    驱动加载后，通过生成两个线程附加到system这个系统核心进程上，获取最高权限。
    通过Process Explorer可以查看到这两个线程：

              
        
       这两个线程一直不住地检查注册表（HKLM\SYSTEM\CurrentControlSet\Services\）下自己这个驱动的值，如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉，会提示没有权限。另外用冰刃（IceSword）这个工具也可以看到，但是杀不掉。。汗。。。

      

          

      看来它的驱动保护做的还是不错的，难以杀掉的原因是对文件以及进程都做了保护。我介绍的《顽固文件删除终极武器》，用金山文件粉碎器，打开的时候提示无法打开文件。很少会遇到的一种情况。
 
       因为驱动是属于Boot Bus Extender组的，在操作系统加载时就会被加载，所以即使安全模式下也会加载，所以到安全模式下删除也是无效的。

      看得出来飘雪为了防范目前的杀流氓软件工具，下了不少的工夫，已经试验过的多种工具无效：
      IceSword删除驱动文件无效，Procexp，IS中止进程无效，金山文件粉碎器删除文件无效（而这几个是我前不久在试不爽的，还大力推荐的。。。faint..）

      不过魔高一尺，道高一丈，知道了原理和过程之后，离解决也不会太远，，下面介绍一下杀它的办法（亲自试验，不需要重启，力求简单，菜鸟也可以操作）

三、清除办法：
  
  1、找出驱动来
    用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护
》，我们今天就来实战一下。运行autoruns之后，在它的“Options(选项）”菜单中有两项“Verifiy Code Signatures（验证代码签名）“Hide Signed Microsoft Entries（隐藏已签名的微软项）“，把这两项都选中了。扫描之后，我们只看驱动（driver）这一项：

    可以看出来，它是假冒微软的驱动。这个驱动虽然写明是微软的，但是没有经过微软的数字签名，所以肯定是假的。（可能你的机器上显示特别多，但所有非微软的，都是有问题的），因为是随机生成的文件名，所以你那里找出来的，可能跟我的不一样。请自己记下文件名。特征是8位随机的字母，并且公司是微软公司，但是显示（Not verified)，如果你这里不能确认，可以用下面的办法。

2、用procexp找出驱动名来
   运行procexp,（下载地址见最后），找到system这个进程，然后点右键——属性（Properties）——线程（Threads），然后把下 面的框子拉到最后，看有连续两个，比较无规则的八个字母的驱动，再跟autoruns对一下就可以确定是哪个驱动了。（见第一张图）

3、删除文件
    因为文件有驱动保护，这里虽然找到线程的名字，但是无论是Procexp还是IceSword都无法中止这个线程（如果你有好的办法，麻烦告诉我一下，谢 谢）。另外本人写的文章里面的关于删除顽固文件的，对付这种有意防范的，也是无效的。经过亲自试验，目前有两个办法可以删除这个文件：
   
     方法一：用Unlocker（下载地址及使用方法见最后的文章）
     找到c:\windows\system32\drivers目录下，找到刚才的那个驱动文件，点右键——Unlocker，然后在出来的对话框中，也会 显示有一个sytem进程占用了，点那个“Unlock“。然后再在文件上Unlocker一下，这时显示已经没有其它进程在使用这个文件，用它的 Delete功能，点确定便可。这样文件便删除[请在system32目录下查找同名的.dll文件，如果找到，一并用这个办法删除]-10/26更新]    了。   

      方法二：还是用Procexp

      在Procexp中，先按Ctrl+H,切换到Handler视图，然后按Ctrl+F，查找，输入刚才的驱动名字（可以只输入前几个字母），然后就可以 看到在system这个进程中有一个文件，在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件，删除便可。  [新版这个方法删除不掉那个同名的.dll，请用上面的办法—10/26更新]   

     我相信如果paoxue的作者看到这篇文章，可能会做一些升级或者改变，使上面的方法无效（因为它明显已经针对IceSword这几个出名的软件做了防 范），但是万变不离其宗，如果那个时候，就先用autoruns/procexp找到相关的驱动文件，然后安装一个虚拟软驱，到DOS下去删除这个文件，那个是最后终极的办法。
     
    我写这篇文章，主要针对一些新手，所以尽量不要重启以及做复杂的操作。

     删除上面的.sys文件之后，为了安全起见，重启一下，然后再重新设一下IE的主页，应该就可以了。至于那个Seriver的值，删不删都无所谓了。

四、其它
   针对飘雪的免疫办法：
   在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一个SearchPlugInX的DWORD值，然后任意输入一个值，这样飘雪就不会再安装了。

   如果上面的方法无效，请与我联系，可能会有升级的版本。但是以上介绍的所有办法，在我的文章都已经提到了。流氓软件横行年代，自己都得学会一点保身之术，呵呵。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

飘雪极度猖獗 安全卫士发布专杀工具（2006.10.27）

　近段时间以来，一款恶意程序正在互联网上肆虐，该程序不仅会将用户电脑首页篡改为piaoxue.com、feixue.com，而且还会修改用 户Hosts文件，并终止或影响多个安全软件的正常工作，手段极为恶劣。据悉，目前风头正劲的安全辅助软件——360安全卫士已经针对这一恶意程序发布了 专杀工具。

　　据记者了解，该恶意程序目前已经成泛滥的趋势，目前受害网民不计其数。瑞星全球反病毒监测网将其归结为病毒的范畴，并命名为“广告Rootkit(Rootkit.ADS)”，但利用瑞星的杀毒软件并不能查杀这一病毒。而其它流行的防病毒软件也多只能查询到有病毒，但无法彻底查杀。

　　安全专家表示，“飘雪”病毒运行后会在系统目录下生成类似于名为lzx32.sys的文件，并创建名为pe386的系统服务以实现随系统启动自 动运行(文件名和服务都会随即变化，并不固定)。该病毒会自动将用户的IE浏览器主页锁定为一个名为“piaoxue(飘雪)上网导航”的网站，以提高该 恶意网站的访问量。病毒采用Rootkit技术，随时变化自身的文件名和服务名，使它很难被一般用户发现和清除。

　　“‘飘雪’在逃避查杀方面使用了很多伎俩，比如把其植入系统的驱动伪装成微软公 司编写的，重复扫描HKLM\SYSTEM\CurrentControlSet\Services\下驱动的值，如果被检测到被删除则立即再次生 成。”360安全卫士的开发人员表示:“目前很多恶意软件已经开始专门针对几个最流行的反恶意软件做‘优化’，这让它们作恶的时间可以更长一些。”

　　记者从360安全卫士方面获悉，在接到大量网民举报之后，开发小组迅速组织对“飘雪”进行样本分析，并以最快时间开发出了专杀工具，可以彻底查 杀该恶意程序。据悉，360安全卫士是第一款能彻底查杀该恶意程序的安全辅助软件。由于“飘雪”修改了Hosts文件，可能导致网民无法打开360安全卫 士官方站点，所以受害网民可以使用以下地址下载专杀工具:http://220.181.34.241/pxzs.exe。

　　网民普遍怀疑此恶意程序是piaoxue.com和feixue.com为了提升PV流量而采取的恶意行为，该网站提供的服务和界面和 hao123网址站几乎一模一样。记者登录该站点，在其站点页面上并没有感染恶意程序。对此，有安全专家表示，“飘雪”恶意程序主要是通过捆绑相关软件进 行散播，很多站点为了博取流量也采取类似的手法。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

最新版的Windows清理助手
下载地址为:http://www./download/arswp/arswp.rar
使用很简单，打开软件，选择清理，清除所有的恶意软件，清除完毕，会提示有些驱动级的恶意软件不能清除，是否要使用驱动级清除软件，点“确定 ”,重启。
再把"Internet 选项“，的主页改回空白页即可。
希望对大家有帮助。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

IE主页被修改为飘雪piaoxue.com的解决方法

该流氓的病毒文件不定，所以可能不能清除该流氓，将继续关注，希望中此流氓的网友在晚上加Q：8533525
暂时找到个软件：http://www./download/arswp/arswp.rar 可清除piaoxue.com，但其他的几个变种可能无效，如xfkz.com about-blank.cc 继续关注！


中此病毒，IE主页还可能被修改为xfkz.com，注意这个飘雪piaoxue.com已经很久了，苦于身边没有中此流氓软件的电脑，同时又从各种日志上看不出来任何问题！百度搜索了好久资料，均无解决方法，直到一朋友的机子中了流氓，才得出简单的解决方法！


该流氓软件创建隐藏服务
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
释放隐藏文件
C:\Windows\System32\lzx32.sys



手工删除方法：
1.断网暂时关闭系统还原，进安全模式下
2.用冰刃删除其创建的隐藏服务
3.删除该流氓释放的文件
4.改回主页～

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

IE浏览器主页被修改为飘雪piaoxue.com的分析与解决办法

还可能被修改为xfkz.com，注意这个飘雪piaoxue.com已经很久了，苦于身边没有中此病毒的电脑，同时又从各种日志上看不出来任何问 题，昨天朋友给推荐看了篇帖子，介绍了该问题的解决办法，后来又找了些相关的文章，这个东东来头不小，如果按照完整描述来看，处理掉它较为麻烦，先说下那 篇帖子的解决办法：

先下载一个小工具gmer.exe
运行gmer.exe，在界面上面的标签中，找到rookit项，会出现下面内容，以红字高亮显示
Service C:\Windows\System32:lzx32.sys [hidden] .......
鼠标右键选中它，"Delete the service"即可

但是通过一个完整描述来看，这个新rootkit是能躲过部分rookit查杀工具的，其中gmer.exe也在列，那就继续老套路，下面列举该rootkit的行为及解决办法

释放文件，该文件为彻底隐藏状态
C:\Windows\System32:lzx32.sys

创建隐藏服务
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]

躲避部分rootkit查杀工具

流氓行为(极尽其能事，我就不列举了)

赛门铁克的解决办法：
1、关闭系统还原

2、用系统安装盘启动，进入系统控制台，关闭其服务pe386

3、正常启动并进入安全模式下，用最新毒库的赛门铁克产品全盘扫描，此时的结果是已经删除了C:\Windows\System32:lzx32.sys

4、删除其注册表服务信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]

5、清除系统临时文件
此时，已经完毕，个人认为此举可能有为赛门铁克产品宣传之说，由于病毒库的局限性，可以参考下面的办法

利用rootkit查杀工具的解决办法

1、使用一些rootkit查杀工具，比如常见的
RootkitRevealer、BlackLight、Rkdetector、gmer.exe、endoscope.EXE、DarkSpy、Anti-Rootkit
例如在上面提到的piaoxue.com，gmer.exe就能很好的解决掉它，毕竟是小工具，作者更新频繁，操作上也比较简单

2、删除系统临时文件、注册表信息等等

就常见流氓软件来说，采用这个rootkit的似乎不多，我倒是第一次见到，算是开了眼，这个玩意要是泛滥起来，对于不明就里的网民们来说，还是有些恐怖的，毕竟它在hijackthis和sreng日志里没有半点体现。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

rootkit技术

一、什么是"rootkit"？
入侵者入侵后往往会进行清理脚印和留后门等工作，最常使用的后门创建工具就是rootkit。不要被名字所迷惑，这个所谓的“rootkit”可不是给超 级用户root用的，它是入侵者在入侵了一太主机后，用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器，后门等程序。同时，程序包 里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序，这样的话，程序员在试图通过这些命令查询系统状况的时候，就无 法通过这些假的系统程序发觉入侵者的行踪。

在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器 上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。

入侵者通过：设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。

设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。

系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件，那些程序就会给黑客最高权限。

Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行，他们就可以获得最高权限。
具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。
".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。

ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。

Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。

Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell，或者通过ssh守护进程提供访问途径。
在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据，这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。
为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂，他会把一些文件放入引导块里。

为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话，它就不会出现在进程表里了。