-
UID:1543
-
- 注册时间2006-05-29
- 最后登录2007-12-17
- 在线时间506小时
-
- 发帖1140
- 搜Ta的帖子
- 精华0
- 飞翔币335
- 威望303
- 飞扬币8460
- 信誉值0
-
访问TA的空间加好友用道具
- 发帖
- 1140
- 飞翔币
- 335
- 威望
- 303
- 飞扬币
- 8460
- 信誉值
- 0
|
[size=12px] 说实话,我自己从来都没有中过这个玩意,但是昨天晚上有幸遭遇了一次.
OS:2003,IE6,无防护(汗一个),裸奔那么长时间才中招,也算是相当难得了.
顺便BS一下龙族联盟群的小白龙(蛇蛇)和老马,你们不厚道,在我累的要死的时刻,你们两个竟然都去睡觉了!!
废话少说,开始.
恶意网站info。com,请大家不要再点了.
PS:因为是别人的电脑,而且急于处理,所以根本来不及抓图,请大家见谅.
1.昨天夜里找到我的时候,浏览器症状是无论访问任何网页,均指向info .com.刚开始以为是普通的首页篡改,结果改过之后,首页变成空白,但访问其它网页还是被重定向.这个时候,我还是没有在意.
1.1上工具HijiacThis,这个不用介绍了吧,图我不抓了,因为扫描结果非常干净,一个输入法,一个FTP服务器软件,比我的电脑还干净.开始有点晕了.但真正晕的在后面.
1.2进程管理器里无异常进程,这一步在整个问题解决后得到证实,DLL劫持确实不会在进程表里留下痕迹.
1.3 RunScanner启动项无异常.
1.4 Streng扫描无异常,我仔细查看了驱动和服务项,未经验证的只有FTP服务器软件(这个是自己装的,肯定没有问题).
1.5 注册表里没有恶意网址相关项
2.分析一下吧,这个地方,特别容易出现混乱,因为不知道该怎么办了.我的检查方法很简单,
2.1 Hosts文件检查,因为我没有试用所有网页,试验的几个网页都是非常常见的,所以可能被强制添加到Hosts文件,但检查结果令我失望,Hosts文件里只有一个127.0.0.1 指向本地的,Hosts正常,Pass.
2.2 Ping恶意网页,得到IP地址83.138.163.25
 图片附件: [图1] 1.jpg (2007-6-9 13:42, 8.21 K)
 (图一),
图片附件: [图2] 2.jpg (2007-6-9 13:42, 8.13 K)
 Ping www.google.com得到IP地址64.233.189.104(图二),很明显,重定向的只有网页,网络没有被修改.这是个好消息.
小知识:DLL劫持的特点就是启动完全正常,网页被重定向,有时候是部分重定向,有时候是全部重定向,或者定时弹出广告等等.其实我刚开始就怀疑是DLL劫持,但因为没有经验,但到这里,也不由我不信了
2.3因为时间比较紧,是急用的电脑,所以也没有空仔细玩了,直接下了瑞星卡卡,他们要求什么就用什么吧,结果让我又一次验证了伟大的GUO产公司的优秀技术,"您的机器上没有恶意软件",哈哈.因为本人对GUO产杀软一向没有信心,装这个玩意也是他们要求的,他们还想让我装瑞星,事实证明,装了瑞星也是白搭.
2.4 我承认我崇洋媚外,我做深刻的检讨......我安装了AVG,升级病毒库之后,一无所获,这时候我真的傻眼了.遇到个新玩意,想不到俺也有走在杀软前面的一天.
3.我重新查了资料,在瑞星卡卡社区,说实话,瑞星社区里有不少高手,但瑞星软件制作人员就实在......,这里我引用一下原文,原文地址http://forum.ikaka.com/topic.asp?board=67&artid=4294296,
向天下奇才致敬.
我们继续,根据步骤
3.1.用UltraEdit,搜索--搜索多个文件,将文件内容填入,这里我直接填的恶意网址,目录用C:\windows,这里你可以放大,也可以缩小搜索范围,但一般都在这里,特别是\system32和\system目录下居多,因为这里的系统文件最多,且不易分辨.选上搜索子目录,开始.
3.2.结果令我很开心,Oh,Yeah,
搜索结果我直接复制出来了
************************以下是搜索结果************************************
查找 'info.com' 于 'c:\Documents and Settings\Administrator\Local
Settings\History\History.IE5\index.dat' :
c:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat(1):
已找到 'info.com' 1 次。
----------------------------------------
查找 'info.com' 于 'c:\WINDOWS\system32\dllcache\iis.dll' :
c:\WINDOWS\system32\dllcache\iis.dll(105):
已找到 'info.com' 1 次。
----------------------------------------
查找 'info.com' 于 'c:\WINDOWS\system32\Setup\iis.dll' :
c:\WINDOWS\system32\Setup\iis.dll(105):
已找到 'info.com' 1 次。
搜索完成, 共找到 'info.com' 3 次。 (3 个文件中。)
*************************以上是搜索结果*************************************
这三个文件中,第一个是正常的,很明显就能看到是IE浏览的记录,这里要看不到那才见鬼了.第二个和第三个才是有问题的,IIS是Windows的因特网服务组件,这个文件应该是Windows的一部分,但是这里文件内竟然出现了恶意网址,肯定是恶意DLL无疑了.
PS:这里介绍一个小技巧,当然是我........查到的,不好意思,确实是别人的方法.汗.检查可疑文件的属性,如果在这里发现的兼容性选项卡,就有问题了,自己的系统文件,会和自己产生兼容性问题?当然不会了.不信的话,可以打开第三方安装的软件,一般都有兼容性选项卡,系统文件,全部没有.当然了,这是一个辅助措施,正确判断还需要你的经验,系统文件一般会在固定的位置,如果乱跑,肯定就是有问题了.
3.3.ok,请转到安全模式清除.
3.4.请不要着急重启,还在安全模式下,打开注册表,清除相关项目.这一步必不可少,不然重启也是白做.
这里又有一个问题,如何不删错,因为所有的木马伪装成系统文件是必备课之一,删除错误可是会痛的.说实话,这个只有看你的经验了,暂时我也没有想到好方法.先备份,然后查找相关文件资料吧.
3.5到这里,基本就完成了,你们看,很简单吧,只要判断准确,就ok了.
4.本来我也以为没事了,但是打开IE之后,却又跳了回来,这次真的疯了.我的思路是可能会有一个文件在监控iis.dll,于是二次检索,但是也没有找到.
这个时候,只好推倒全部重来,再次检查启动,服务,驱动,IE相关项.我连下卡巴的心都有了,但一想到病毒文件已被清除,效果如何,实在是未知.主要还是考虑到时间过长.
RunScanner,还是这个软件,它检测的启动范围非常广,这一次,我扩大了检查范围,肉眼机械扫描,嚯嚯~~~~.功夫不负有心人,我发现了一个特别的注册表项.Proxy,ip地址:83.138.163.25,图三
图片附件: [图3] 3.jpg (2007-6-9 13:42, 35.64 K)
(已清除,但是如果修改,位置是在这里)等等, 这个是什么,看起来很眼熟啊,不错,这就是恶意网址.没想到吧,我也没想到,玩了高深的,结果倒在常识上,**,被DLL劫持木马阴了一把.
好了,现在很简单了,IE-internet选项-连接-局域网设置-把代理设置清除掉.(图四)
图片附件: [图4] 4.jpg (2007-6-9 13:42, 46.33 K)
重启电脑,ok了~~~~~
这里再多说一句,如果有一个监控iis.dll的DLL文件,也是不奇怪的,虽然今天的例子里却实不是.双线程乃至多线程监控太正常了.运气比较好,哈哈.
最后,我想再啰嗦两句,检查的时候,仔细才是王道,纵观全文,技术含量并不高,大部分源于经验积累,唯手熟而已.包括常见进程,常见服务,还有工具的使用,这就是全部,尤其是最后一个代理设置,真是不知道该说什么好了,基础的基础,被木马阴了一把.
再说一句不好意思,因为是突发事件,以解决为前提,根本没来得及也没想到去截图,如果不是最后一个代理设置的问题,可能我都不会想到这个.
全文提供的是一个思路,希望大家在处理同类问题时,有一个方向,行文有些啰嗦,能耐心看完的朋友,请多包涵吧.
PS:向天下奇才致敬,你的文章给了我主要的思路.再BS一下老马和小白龙(蛇蛇),你们不厚道,我孤独的解决问题的时候,你们都跑去睡觉,呜呜~~~.
2007.6.9
|
