手刃灰鸽子—杀毒日记(dllhosltkey.dll)
<P>作者:<FONT size=2>太初誓言</FONT></P><P>2006年3月24日,月黑雁飞高,又正好是星期五,恰是群侠逐鸡的好时候。晚上11点半左右我上线了,希望今夜出海能捞条大鱼!<br><br>我的思路很简单,我用google搜索”inurl:bbs/diy.asp”和”inurl:forum/DIY.asp”,看到了成百上千的网站后门,可是试了好多都没能把我的大马挂上去,后来我搜” 保存文件的绝对路径(包括文件名”——diy木马的关键字,又找到一些,不过干扰也就多了,因为好多网站是关于这个木马的介绍!<br><br>现在介绍一下我的工作环境:XP pro sp2+升级补丁,IE 6.0+升级补丁,天网放火墙pro V2.7.3.1100+最新升级,Kav+升级2006.3.20,10M接口,校园网,香港代理服务器。<br><br>因为Kav老是提示我正在使用的Hack Tools 有毒,把我搞烦了顺手关掉了它的实时监控功能,虽然我找的那个代理算快的了,但总觉得不过瘾,去掉代理!相安无事,爽了!<br><br>不知不觉到了凌晨1点多,准备返航,可是手不觉中又打开了一个网站,网速很快——大多数人都该入睡了我想。打开的这个网站我现在模糊了,印象中很空白,有少许或者没有文字,但我警觉的发现IE的状态栏出现”web.163.sh..**/~**”字样,我心里暗叫不妙,凭着我行走江湖多年的直觉,我知道网马来了!<br><br>如果在网吧,我大可不必理会,但这时我承认我很紧张,我的冲动让我做了一个错误的决定,我匆匆想停掉联网的客户端,现在觉得当时花了很长时间。我反思了一下,如果当时我1、点一下IE的停止按钮,2、点状态栏天网一下,再点断开网络按钮,3、断开联网客户端。嘿嘿,恐怕就不会有这篇火章了。<br><br>断开后我做的第一件事是开Kav,Kav就是Kav,启动后的第一件事就是通知我我的电脑中毒了,“c:\windows\dllhosltkey.dll是灰鸽子,是否删除?”。就在Kav没有启动完全之时,跳出来个错误提示”IExplorer.exe遇到问题需要关闭,点确定关闭,点取消进行调试”。<br><br>当年的冰河时代我玩冰河和广外,现在觉得玩木马没意思了,虽然现在灰鸽子在网络上飞来飞去,采用了以前木马所不具备的DLL注入技术和远程线程插入技术,但我从来都不想去用它——我没那么无聊!<br><br>Kav问我是否删除?我选是,——Kav的第二个提示出来了:”c:\windows\dllhosltkey.dll无法删除。你没有访问权限或者访问被拒绝”,我是管理员身份——会没权限,显然是访问被拒绝。<br><br>当时我就杀到c:\windows下,没有发现dllhosltkey.dll,显示隐藏和显示系统文件,操,怎么这样,动用Windows的文件查找功能查找windows目录,没有!也许是我当时比较紧张,但查找也没有啊。很不容易中了病毒,而且还是灰鸽子,本想开启屏幕功能,当时系统已经不太稳定,任务管理器的进程列表已经变得闪烁迷离,就放弃录象的想发。<br><br>Kav反复跳出发现病毒和无法删除的提示,,,<br><IMG src="http://web.163.sh.cn/~test/huigezi.bmp<br>我打开CMD,输入:tasklist /m >d:\dll.txt<br><br>打开:d:\dll.txt<br><br>内容如下:<br><br><br><br>图像名 PID 模块 <br><br>========================= ====== =============================================<br><br>System Idle Process 0 暂缺 <br><br>System 4 暂缺 <br><br>smss.exe 396 ntdll.dll <br><br>csrss.exe 444 ntdll.dll, CSRSRV.dll, basesrv.dll, <br><br> winsrv.dll, GDI32.dll, KERNEL32.dll, <br><br> USER32.dll, LPK.DLL, USP10.dll, msvcrt.dll,<br><br> ADVAPI32.dll, RPCRT4.dll, sxs.dll <br><br>......( 省略)<br><br><br>Ctrl+F,输入dllhosltkey.dll查找,发现被感染的进程如下:<br><br>explorer.exe,hkcmd.exe,ALCWZRD.EXE,ALCMTR.EXE,ALCFDRTM.EXE,VStart.exe,ctfmon.exe,conime.exe,PFW.exe,IEXPLORE.EXE。<br><br>想起有个高手——逆风草(夏日)曾告诉我:结束掉感染进程,再删除。。。先结束smss就不会自动关机了。<br><br>迅速招来PETolls(Cracker们不会不知道这款软件吧),选种一个感染进程,发现确实被注了,不过,共同的特点就是——dllhosltkey.dll总是被插到了程序的末尾,所以很好找,几下全干掉了!<br><br>再次运行tasklist /m >dll1.txt<br><br>没有发现dllhosltkey.dll运行,可以了,杀进c:\windows<br><br>发现了它——dllhosltkey.dll,Kav也发现了病毒dllhosltkey.dll,提示我删除,KILL掉。旁边还有一个可疑程序dllhoslt.exe,同样是隐藏,图标为*.jpg图标,但我的电脑从来都不隐藏扩展名,删除,嘿嘿,它**还提示我是系统文件,去死吧。还有一个文件,杀红了眼没什么印象了好象是dllhosltkey.exe,一起干掉。<br><br>差不多了,打开日志查看器看看系统日志和安全日志,我日,全没啦!(这里我想请问一下高手,系统日志放在那个文件夹里,格式是*.log还是其它。)<br><br>看看有没有开启间谍服务:运行Msconfig,——服务——隐藏系统服务,还正常,打开计算机管理——服务,我一眼就看到了一个可疑服务:Removable Storage,没有任何描述,启动类型:手动;状态:已启动;服务名称:Ntmssvc;调用dll: C:\WINDOWS\system32\ntmssvc.dll,而这个dll是正常的,先停掉再禁用。(后来查了一下资料,Removable Storage --般情况下不用,磁带备份用的。)<br><br>运行regedit,搜索dllhoslt,小样,干了坏事修改了我的注册表,项路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+.System_Applicationn<br><br>名称:ImagePath;类型:REG_EXPAND_SZ;数据:C:\WINDOWS\dllhoslt.exe,不过不要紧,C:\WINDOWS\dllhoslt.exe已经被删除了,但是我不知道怎么改回来,就直接修改该值为空,希望哪位帮我看看这里原来是什么。<br><br> 在看看系统自启动项,检查boot.ini,system.ini,win.ini,计划任务,注册表,等所有自启动的地方,都正常。但无意中打开系统还原,**,它清除了我所有的还原点,真不是东西!<br><br> 本想用Kav全面杀毒,但我电脑里有很多像毒的工具,外加上实在太晚,故杀了下就退出了,拔掉电源睡觉去!<br><br> 第二天,我总觉得当时杀的太急了,没有了解病毒的特征,感到不舒服,于是进行数据恢复,硬是把那个dllhosltkey.dll从C盘了复活了回来,用PE查看,EP Section为空,而正常是为:.txt;大小61,440字节。将dllhosltkey.dll修改为dllhosltkey.dll.pig制成标本。<br><br>后来证明COM+.System_Applicationn是灰鸽子添加的服务 ,注册表里要删掉该项。<br><br></P>
页:
[1]
