Fwolf’s Blog

昨天晚睡、今天晚起、上班迟到。。。更倒霉的是，单位还要开全体会，在路上的时候，就已经接到电话，不过并沒有埋怨我迟到，而是非常着急的告诉我，投影仪不工作了，跑步前进！

到地方一看，狂昏啊，投影仪的信号线根本就沒有接到分频器上嘛，问题立刻解决，时候他们告诉我一帮人来回鼓捣了半天都没弄好，怎么都不知道检查一下最简单的线缆连接情况呢？

投影仪好了，用来播放学习资料光盘的电脑却出问题了，cpu使用率100%，加上windows的媒体播放机又是个很吃资源的家伙，没事还把窗口标题什么的都隐藏了，在cpu耗尽的情况下急难控制。看到这种情况估计就是中病毒了，果然，AVG和诺顿一个劲的弹框，AVG报的是一个Torjan，诺顿报的是ie临时文件中有一个病毒。一时半会儿收拾不好，先用超级兔子清理一下系统，然后凑合先放着电影。

在将就完成电影播放任务之后，我仔细的观察了一下这个木马，发现他很有意思。祭出ProcessExplorer查看进程，杀掉日常熟悉的可关闭进程之后，发现两点可疑之处，一是一个svchost进程下面挂着很多iexplore进程，另一个是AVG总是报一个netcfgw.exe有病毒，却始终找不到这个文件，进程中也没有。

先从可以的iexplore进程入手，起先以为是ie本身出问题了，用超级兔子把ie洗了个一干二净，但还是老样子，用cmd把iexplore.exe文件删除，几秒钟种之后他又恢复了，更改文件属性和各种覆盖方式都不行，一会儿他就被改写回去了，遂放弃，编写了一个简单的死循环批处理文件，反复用pk.exe杀死IEXPLORE进程。

再来查找系统中加载的无用程序和dll文件，系统自带的最好用的算是“系统信息”了，不过翻出来的东西太乱，也没有发现什么netcfgw.exe，只是发现有一个netcfgw.dll很可疑，但是却找不到文件，google一下，有人说这是一个盗qq密码的木马，那按说应该很容易杀除啊，可我这个怎么这么顽固？过程中还发现系统进程中，有两个可疑的svchost进程，一个就是刚才说的，作为iexplore父进程出现的那个（强制结束会导致windows在1分钟内重启，和当年冲击波一样），另外一个出现在进程列表的最后，可以强制杀死，但一会儿又复活了，隐约觉得系统中还是有一个东西在隐藏运行着，但用ProcessExplorer再也发现不了可疑进程了。

这个木马还有一个厉害的地方，在使用ad-aware和诺顿nav进行全面扫描的时候，居然会中途停止，状态其实并没有停止，只是停留在扫描一个文件的地方很长时间，寒。。。这个厉害的家伙。

没办法，既然是木马，那之后找专门的杀木马来吧，由于不知道木马的名字，也可能是变种变得太厉害了，或者只是某人经过特殊改装的木马，所以没法找专杀工具，只能使用通用的工具了。下载和使用几个对付木马的软件情况如下：

• 木马克星，不好用，甚至在安装和启动软件的时候，会被系统背后隐藏的黑手强制关闭。
• 木马杀客，没有名字那么厉害，什么都没有找到。
• Torjan Remover 6.5.2，什么都没有找到。
• TorjanHunter，下载的还是个注册版，界面不错，挺好用，简单扫描什么都没有发现，全面扫描后发现c:\windows\system32\netcfgw.dll文件是一个Torjan.Spy….木马。

通过实际演练，也大体知道这些防木马软件功力如何了。其实在漫长的查找木马过程中，我也发现刚才为什么找不到c:\windows\system32\netcfgw.dll文件了，因为他是一个系统+隐藏+只读属性的文件，用dir /a能看到，但是用del netcfgw.dll却会提示找不到文件。

同时，还发现了一个好用的软件：Sreng，比超级兔子功能要少，但使用上更加简单，用他发现一个可疑的启动注册表项：HKLM\SOFTWARE\Microsoft\Windows\Current Version\Explore\ShellExecuteHooks下面有一项内容为“c:\windows\system32\sysldr.dll”。

用TorjanHunter发现netcfgw.dll之后，显示的是能杀掉，但过会儿再去看，文件其实还在那里（可能是像iexplore.exe一样又被复制过来了），但结合Sreng发现的sysldr.dll基本上搞清楚这个木马了。

首先木马的本体是netcfgw.dll文件，运行的时候会变身为netcfgw.exe，也就是AVG发现的那个，而sysldr.dll是用来加载netcfgw的，使用钩子技术挂载在肯定会运行的explorer.exe中，同时还导致很多软件运行的时候也带着他。至于svchost和iexplore本身可能并没有感染，木马制造者只是用他们来实现访问某个网站的目的而已。

现在，杀木马就简单了，打开ProcessExplorer和一个cmd窗口，然后attrib -h -s -r netcfgw.dll & del netcfgw.dll干掉netcfgw，再在ProcessExplorer中使用搜索dll或handle功能，查找包含有sysldr.dll的进程，结果找到explorer.exe和TorjanHunter以及AVG的运行文件（再寒。。。），全部杀掉，然后同样的方法：attrib -h -s -r sysldr.dll & del sysldr.dll将其干掉，两个dll文件都位于c:\windows\system32下。重启之后，没有发现问题，木马清除完毕。

着实忙活了一天，并且也没有顾上截图，表示遗憾先。事后感觉自己已经一段时间没有用windows了，多少有些生疏，但同事、朋友们的电脑难免遭殃，自己去帮忙的时候还是要从知识上和工具上做好储备才行，现在把好用的工具罗列如下：

• 杀毒防毒：还是信任诺顿，比较放心，升级也方便，还不用注册。注意一定要用企业版，家庭版和SystemWorks是垃圾。
• ie修复和系统启动项：简单的可以用Sreng，复杂一点可以用超级兔子，想再彻底一点的可以用ad-aware，几个工具各有所长，可以互补。
• 有了上两条的东西，日常使用小心些，直接拨号上网的一定要开防火墙，推荐Zone-Alarm，基本不会有大问题。
• 查杀木马：还是用TorjanHunter吧，网上注册版很多，最近还有人推荐ewido，自己也用过一次，查杀效果还可以，但好像注册麻烦些。

上面说的几个都是被动的，主要用于出事之后，其实在日常使用的时候注意一些，这些都可以避免，下面是我经常为同事和朋友们推荐的方法，大家参考一下：

把ie的安全级别调整为最高，必须用ie的工作软件添加到信任网站中使用，一般的网站全部使用firefox浏览，这样既不影响工作和娱乐，安全性也提高了很多。

实在对firefox不感兴趣的，也可以用opera，再退一步，可以使用ie内核的greenbrowser或maxthon，但不管怎样，千万不要用原版的ie，这东西太脆弱了，简直就是万恶之源啊。

以上只针对xp，windows2003和vista几乎没用过，听说在安全性上有所改进，但不知实际效果如何。但不管怎么改，windows也是先把所有权限都给用户，再进行限制，和nix先限制用户的权限，再一点点开放的方式相比，安全性从底层机制上就有更大的漏洞，再加上没有计算机知识、毫无防范意识的用户来使用，简直就像抢劫3岁小孩那么简单。

No tags for this post.

Related posts

• No related posts.

This entry was posted on Tuesday, September 5th, 2006 at 19:46:54 and is filed under Internet, Problem. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.