TGFC Lifestyle - Powered by Discuz! Board

标题: [电脑] 他m的Bagle变种，战了一天基本搞定了 [打印本页]

作者: stryker 时间: 2008-10-20 00:21 标题: 他m的Bagle变种，战了一天基本搞定了

昨天想找个Stop Motion Pro 6.5注册版，在emule上搜索出几个结果，下载了，打开压缩包，想也没想就运行了执行文件，虽然是有nod32警告是bagle变种，但好像没完全挡住。再重启之后，机器已经中招了。
关于这个bagle变种，很多是伪装成某些软件，然后让人下载....运行。所以在emule里搜东西要小心。而且我中的是最新变种，也就是几天前才出现的，所以google的时候可能很多解决方案已经不适用了。

bagle在启动时会抢先杀掉众多杀毒软件，还会让hijack等诊断软件失效（会说hijack与icesword是无效32位程序，会让gmer很快被关闭，等等)，加入在管理里看不到的服务，在进程里启动隐藏进程等等，所以搞起来很麻烦，甚至还会蓝屏(在我用ProcessGuard这个软件企图监控进程时反复蓝屏)。似乎以前的版本还不允许进入安全模式，一进就蓝屏。不过我是vista进安全模式没事。

这版bagle主要有几个东西
1.windows/system32/mdelk.exe
2.windows/system32/wintems.exe
3.user/administator/appData/roaming/m/flec006.exe
4.user/administator/appData/roaming/m/shared
5.windows/system32/drivers/downld/xxxxxx.exe (xxxx为随机数字)
6.windows/system32/drivers/srosa.sys

srosa.sys是核心，如果不把这个东西除掉，1/2/3/4/5会没完没了的产生。1/2/3/4/5比较弱，在安全模式下除掉的话，如果不联网话，基本上不会再生，但一联网就会自动被下载很多东西。flec006会让m/shared里产生大量的伪装成某某软件破解或正式版的压缩包，里面就是病毒文件，也就是这东西会在emule上被认为是软件让人下载。drivers/downld目录下会出现大量的以随机数字为名的exe，越来越多。这些东西会把你的系统搞的越来越不安全，而且不能使用很多杀毒或系统级的诊断工具。
起初我杀来杀去都是杀那些exe，后来发现srosa.sys才是根本。这东西在安全模式下删掉还会被复制，而registry里能查到的与srosa.sys有关的删不了，就算想办法删了重启后还会出现。后来找来找去找到了srosa.sys的源头。目前似乎是安静下来了

具体办法
事先下好gmer与Elibagle这两个小软件，用来辅助侦测bagle有没有清干净。使用cmd为主要操作模式，因为很多目录是隐藏的在资源管理器里看不到。
1.拔掉网线，必须的，不然他们会随时下载复活那些东西。
2.先尽可能的去1-6的地方把能删除的先都删除了
3.卸载你的杀毒软件，因为可能已经被破坏了
4.启动到安全模式，把1-6提到的所有文件都删除
5.到user/adminitrator/appdata/local/microsoft/windows/temporary internet files/content.ie5中，执行“dir b64*.jpg /s”，把含有b64开头的jpg文件的目录都删除。因为srosa.sys就是由这些伪装成b64_1.jpg、b64_[2].jpg之类的文件生成的。
6.启动到普通模式，分别运行gmer与Elibagle，应该已经看不到bagle相关的衍生物了。这时候安装你的杀毒软件，最好是包含最新病毒定义的版本，我安装的是nod32包含080701的定义。由于没有srosa.sys的启动，杀毒软件可以使用了，杀一遍毒。
7.重新启动，这时候各大杀毒软件的服务也能启动了。趁这个时候把防火墙也设置严格一点。然后插上网线，马上更新病毒定义，再杀一遍。
8.用cmd不断观察1-6的地方是否有那些文件复活，也严格监视防火墙的情况，以免隐藏的什么东西又去奇怪的地方下复本。

[ 本帖最后由 stryker 于 2008-10-20 00:23 编辑 ]

作者: n2 时间: 2008-10-20 00:53

如果你要监视文件建立什么的

考虑filemon。。。。

毫无头绪的话就是  开filemon 然后关东西看看什么进程在保护。

话说这种还好啦。。。只要不改文件，不删文件。。。。怎么手杀都简单

（会说hijack与icesword是无效32位程序，会让gmer很快被关闭，等等)
镜像劫持之类吧。。。。autoruns能比较容易看这个。。虽然不知道被劫持了没

你有没有尝试过icesword 改成  名字.com?
然后什么狙剑啊  wsys  RkU那些不知道有没有用。

其实你应该尝试下完全盲扫。。。。。。。。。
就是完全自己找出根源来（虽然很无聊）

这种情况的话  装个hips。。然后看看什么在触发什么。。

当年帮别人试毒就是

现在想起来。。无聊的很

[ 本帖最后由 n2 于 2008-10-20 00:57 编辑 ]

作者: stryker 时间: 2008-10-20 01:19

hijack改任意.exe都可以
icesword版本可能有问题。中毒中自然是32位无效程序了，改个名字说初始化错误，我觉得可能是不能改名，但没想到清了毒还这样.....

我觉得将b64.jpg变为srosa.sys必然在某个地方还是有个东西在残留的，比如在服务中或是注册表里，不然将srosa.sys删除后它是怎么从b64过来的？很想把这个查出来清掉。hijack好像看不出来哪个有问题。

作者: n2 时间: 2008-10-20 01:25

所以才用filemon 来监视文件的创建。。。。
把无关的进程关掉。。否则log 更多无关项

作者: n2 时间: 2008-10-20 01:26

还有

content.ie5

我一般都是整个删除的。。。。。目前来看里面一般没什么好东西

我觉得要找这些的话可能用光盘的winpe更方便点？

不过少了实际的进程可能不很好

作者: stryker 时间: 2008-10-20 01:34

好，回头试试！

作者: dfg1101 时间: 2008-10-20 03:30

重装也用不了一天啊

作者: n2 时间: 2008-10-20 05:42

引用:

原帖由 dfg1101 于 2008-10-20 03:30 发表
重装也用不了一天啊

杀毒的快感。。。。。。。。。。。。。。。。。。

作者: xx88 时间: 2008-10-20 10:01

icesword有vista SP1能用的版本么？

作者: sum31 时间: 2008-10-20 10:15

引用:

原帖由 n2 于 2008-10-20 05:42 发表

杀毒的快感。。。。。。。。。。。。。。。。。。

有毛快感，杀多了就麻木了，明明知道病毒就这么几个伎俩，实在懒得去找了，直接重装最高

作者: dizhang 时间: 2008-10-20 10:44

杀毒是一种乐趣，曾经中过一些极其恶劣的病毒，可惜搞了一个晚上都不能彻底去除……还是ghost方便……当然心里是非常不甘心的。但是话说回来，真的想要搞定这些很恶劣的病毒，可能多多少少需要一些软件的知识。
一般来说我都是系统装完后打上所有补丁做一个ghost，然后是所有驱动安装完做一个ghost，所有常用软件装完一个ghost，然后用了一段时间稳定了，再做一个ghost。而且gho文件都是放在单独的硬盘上以防被病毒删除啥的。出了事情接上那个单独的硬盘ghost，很方便。
另外电驴上搜索软件的话经常可以搜索到一些不明的东西，尽量少运行为妙。其实长毛你完全应该下载下来先扫描一下无误再运行。

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)