马上注册,结交更多好友,享用更多功能。
您需要 登录 才可以下载或查看,没有帐号?注册
x
今天用foxmail收邮件时,foxmail自动把许多垃圾邮件放入了垃圾邮件箱里面。我稍微检查了一下垃圾邮件,发现里面有一封英文邮件非常可疑,如图所示:
根据我跟病毒打交道的多年经验,我一眼就判断出肯定是病毒或木马,木马的可能性最大。
于是,我准备激活这个木马,看看这个木马的特征,找出手动清除这个木马的方法。
我先给系统做了一下预防工作,把重要的系统盘&数据盘启用磁盘限额管理(禁止木马修改那些分区里面的数据)。
(我这个电脑有三个系统,一个备用的XP系统,一个工作用XP系统,一个PE工具箱系统,在备用系统做试验。)
病毒文件是一个压缩包,34.1Kb大小,解压缩到桌面,是一个名为card.exe的可执行文件,还是34.1Kb大小。
双击card.exe ,病毒立即被激活,激活后,桌面上的card.exe自动消失。
运行任务管理器,没有发现任何可疑进程;
运行msconfig,没有发现可疑的自启动项,也没有发现可疑的服务项;
当我准备打开文件夹选项,准备设置“查看”,显示所有的隐藏文件,以便在系统目录里面查找病毒时,发现“高级”选项框里面的内容全部不见了;
根据我一贯的经验,我觉得winrar可以上场露一手了。
然而,让我感到不可思议的是,用winrar浏览系统目录,依然没有发现病毒的踪影!!!!看来屡试不爽的winrar也有失手的时候!
看来这个病毒还真不简单,有些来头,说不定还是进口货。
我觉得既然病毒已经激活,肯定会露出马脚。
于是,运行CMD,进入命令行窗口,使用 netstat -an命令,发现本机的1660端口与远程62.176.17.85的80端口建立了链接,经查IP地址是俄罗斯的(这时没有上网);
为了确定是哪个程序在跟外网建立链接,使用 netstat -b -v 命令,发现是系统文件rundll32.exe跟外网建立链接。
看来这个病毒比较狡猾,不直接启动,而是通过系统文件rundll调用病毒程序,完成病毒入侵系统的前期工作。
我估计病毒还未摆好阵势,一般需要重启才能真正发挥威力,于是,我重新启动了计算机。
重启后,感觉系统运行状况有些问题,不如以前流畅,运行程序时明显有迟钝的现象,这时病毒应该已经完全得手了,可以继续进行下一步分析。
我再次运行 netstat -b -v命令 ,发现这次的情况与刚才不一样,出来一个可疑 dll 文件,和一个可疑的IP地址(这次的IP地址好像是美国的),狐狸终于露出尾巴了!我确定这个gzipmod.dll就是木马程序!如下图所示:
我还想看看有没有病毒的进程,于是启动任务管理器,但是仍然没有可疑进程。连重启之前出现的rundll进程都没有再次出现。
但是,我发现了另一个系统进程有点问题,这个进程是svchost.exe ,它占用了99%的系统资源,怪不得感觉不对劲!
终止这个有问题的svchost进程后,系统速度马上恢复正常,而且,网络连接里面的可疑链接自动消失了!
由于资源管理器和 winrar都 无法浏览查看gzipmod.dll这个病毒文件,我于是启动了PE系统。
在PE系统下,我在system32目录下发现了这个gzipmod.dll文件。又让我感到奇怪的是,这个文件并无隐藏属性,为什么在中毒的windows下就看不到呢!连winrar都无法看到!!!!
找到这个病毒文件后,按照惯例,我顺便检查了其他可疑文件,根据gzipmod.dll创建的时间2008-11-2 9:41,我发现有四个文件是同一时间创建的(前后时间差在一分钟内),分别是:
5102a80.sys
gzipmod.dll
vbagz.sys
tremir.bin
我判断这四个文件全部是病毒。(这四个文件在中毒的windows下都看不到)。
于是,我把这四个文件做了备份,然后全部删除。
重启到windows界面,确认病毒已经清除干净。运行 netstat -b -v ,没有可疑链接。任务管理器里面的进程也正常,msconfig里面的自启动项也正常,服务项也正常。
病毒虽然已经清除了,但是还不知道这是什么病毒。于是,下载了一个360安全卫士,升级病毒库后,扫描我刚才备份的病毒文件,但是没能查出问题。我又下载了一个卡卡助手,还是没有查出来。我又想到网上免费查毒的站点扫描一下,确认这几个文件到底是什么病毒,试了几个站点,感觉烦死了,不想查下去了。
不过,在用360卫士扫描恶评插件时,提示我的系统安全模式有问题。 (经确认,是病毒文件5102a80.sys替换了安全模式所需的注册表键项)。
我重启了一下,按F8 ,以安全模式启动,果然如此,直接死机重启!
又拜托360卫士,帮我“清理”一下安全模式,再次以安全模式启动,居然帮我修复了!O(∩_∩)O哈哈~ 没想到卫士还可以修复安全模式!
我还想让卫士帮我修复一下被病毒破坏的文件夹选项,没能修复,看来只好留给我自己慢慢研究了 |
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
