|
防火墙是否允许 run a dll as an app访问网络 文件是c:\windows\system32\rundll32.exe 请问这个是什么用的?
(6145):Run a dll as an app是病毒还是3721的问题?刚刚发现的新木马,小绵羊中了,小Q帮她看过后一下子告诉我远程的方法搞不定,一定要本机上操作,但找了个木马执行文件发给我让我看看,是几张图片一个可执行文件,看过图片,结果提示ACDSEE出错,用画图能打开,我还没运行那个可执行文件,但我已经感觉中了,查看启动项,果然,我也中了。不过经过10多分钟的分析和摸索,现在已经搞定了。还不知道木马的名字,估计网上已经有名字了,懒得找,因为木马借助3721中文域名执行文件生存,所以我暂取名为“3721潜伏者”。 木马名称:3721潜伏者 执行文件大小:WIN9X下:24KB 2000/XP下:31/32KB 特征:感染系统后自动与3721网络实名系统的Cnsmin.dll关联,并在WIN9X系统的WINDOWS目录下生成不规则名称的.EXE文件,2000和XP下则在X:\WINDOWS\SYSTEM32下生成 特殊特征:与Cnsmin.dll关联(这招很毒),有双系统的机子自动同时感染双系统(这招更毒) 非重要特征:QQ启动异常(至少导致珊瑚虫版的QQ异常),报告出错并且输入密码后感觉还没登陆QQ就跳掉了,结合几个网友的QQ最近也有类似现象,估计是和QQ执行文件有一定关联(比如用于偷取QQ密码,或用QQ再生自已) 解决方法:抓住这个木马作者最得意的地方,利用现在国人电脑上几乎人人都有的网络实名系统的关键动态链接库Cnsmin.dll关联,利用Cnsmin.dll在开机后时刻重复运行的特征,使木马启动程序在被禁止后马上重新生成新的启动文件(在WINDOWS的注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run有关的几项里注册,以达到启动加载的目的),这是这个软件的最成功之处,也是最失败的地方,因为这是一个要害,利用这个要害,我们: 1)首先卸载网络实名功能,(其中WIN9X用户可以先断开网络后操作以防止“菜客”在你操作时从中作梗)直接在控制面板的删除/添加程序里反安装;2000及XP等NT内核操作系统用户因为无法在控制面板的删除/添加程序里找到有关卸载项,所以要到网络实名的网站http://www.3721.com/setup-5.htm页面的第二项里选择卸载,所以不能断开网络(谁有可以卸载网络实名的工具请推荐,谢谢)。 2)WIN9X/XP用户运行msconfig命,打开启动菜单,找到木马的启动项(注:文件名是随机的,不一样,但都是.exe文件,并且命令行里有明显和Cnsmin.dll关联的显示,具体可参看附图),2000用户可选择从98用户那里COPY一个msconfig.exe来完成该操作(运行msconfig时有提示出错,不用理会,点确定就行,接下来的操作和9X/XP用户一样,一般卸载网络实名后该启动项就自动删除了,但我们还要 ……看3)。 3)重启电脑,双系统用户请还是启动刚才运行的系统,否则系统之间会交叉感染。WIN9X用户到WINDOWS目录下查找大小为24KB和31/32KB的.exe可执行文件,如果该文件符合图中的几个的特征,即文件版本为5.1.2600.0,描述为:Run a DLL as an App这两个待征,即为木马服务器端执行文件,好了,现在把它shift+Del掉吧;2000和XP用户则应到windows\system32下查找,特征相同。不要试着在做完1)2)步工作或重启电脑前用软件或2000/XP的进程管理器终止该木马的用户进程,因为你终止不了的,试过你就知道了。(注意不要把WIN9X自带的RUNDLL32.exe和rundll.exe误删掉,分清楚)。 4)双系统用户在当前操作系统下到另一系统的分区下的相应文件夹下删除有上述待征的木马程序,注意另一系统下木马程序文件不止一个,请逐个找出删除,然后重启电脑到该操作系统下进行上面从头进行1)2)3)4)。。。等的操作。(注意XP或2000用户如果系统盘为NTFS结构,请先在XP/2000系统下进行除马操作,因为你如果称在9X系统下,你无法看到NTFS盘也无法进行3)的有关操作。 5)到我的文档下查找有关文件,你会发现有一个或以上的文件是你在感染木马时运行过的文档,图片,或者别的,请不要点击它们,而是关掉按WEB页查看的功能,然后把这些文件删除掉,如果你分不清楚究竟是哪些文件,请按shift+Del删掉所有老文件以外的所有可能的新文件,图片,或者文档,因为它们都是伪装的(非常高明,一点都看不出来的)请删掉它们,也许有几个正好是你的网友或朋友传过来的MM图片或者别的图片,千万不要再多看它们一眼,否则大侠请重新来过吧,重复1、2、3步。 6)更改你所有用过的密码,系统、QQ、EMAIL及网上所有用到的登陆密码,无论是以前用的还是现在用的,因为木马的一个显著特点就是查看所有历史内存驻留密码(其实是在硬盘上存着的),以及你当前的键盘操作。 等各大杀毒防黑软件升级后,大家可用这些软件清除木马,目前还没有有效的软件能够清除该木马。杀不如防,所以请大家不要随意打开网上陌生网友的图片,文档等,也不要听陌生网友的指示去某某网页看什么图片等等,都有可能中木马,这个木马和图片文件的植入功能真是很完美了。 我的这次的杀马历程:看图,中毒,发现QQ也不对劲了,连忙关掉XP重启到98下想慢慢搞定,结果发现98也已经中了。然后是分析,找来了魔图的ms98.exe想杀掉木马当前进程,结果杀不掉,然后跟据和Cnsmin.dll相关的原理想到了卸载网络实名是否木马无法再重生启动项,结果成功搞定。结果跑到XP也杀不掉进程,只好从头一样的除马,除掉后想到会感染双系统,那么应该在我回到被感染的XP系统时98下应该又有生成启动文件,然后小心翼翼的到98的WINDOWS目录下看看,结果果然找到了3个木马执行文件,记录、抓图、打包备份(打算发给小Q及反病毒软件公司)后删除,重启到98,启动提示出错(木马的启动项找不到木马执行文件),然后从头再搞了一遍,然后我到注册表下彻底删除了已被中止的木马命令行(熟悉注册表操作的朋友也可以这样做),好了,再重启任何一个系统,世界安静了~~~ 纯手工干掉病毒木马的感觉就是爽!:D因为以前这样的类似经验有过几次,现在操作起来一点都不急不慌,一个木马而已,又没对系统开始重大危害,而且笨木马又没对系统的有关功能作限制(如封掉开始菜单的运行命令和锁住注册表),所以就慢慢来,中马的朋友也不要慌乱,按照指导,一步步来,我能做到的,你也能做到!
|
|
转播
分享
淘帖
分享到新浪微博
