中rootkit类木马/后门,现在已经成为一种新的“时髦”。不幸赶上这种“时髦”的朋友们往往头疼不已——难杀! b�%KcS�&-6
f�1�S%�p��
关于rootkit类木马/后门,目前为止,我只拿到了一个样本。此样本是个夹带rootkit(文件名为msdirectx.sys)的后门,卡巴斯基报——Backdoor.Win32.Irofer.13b04。 �1>/ iY��f
>�X�*G6�p�
关于这个后门,在“Rootkit为什么难缠”一帖中已经粗略的介绍过其感染特点。但是,那个帖子是在监测到病毒文件的条件下谈查杀方法。然而,来求救的朋友们,往往是在不知不觉的情况下感染了这类木马/后门,不知系统中存在那些病毒文件,更不要说病毒文件名及其所在位置了。再者,即使知道了病毒文件名,由于那个msdirectx.sys的掩护,用一般的常规方法在WINDOWS模式下也搜不到病毒文件的位置。 LqXV��i80
上述内容正是查杀rootkit类木马的难点。怎么办?有办法。古人云:“工欲善其事,必先利其器”。因此,先介绍对付这类木马/后门的工具。 M?=I{}!@�Q
3ZbqZ�"rE�
【工具1】:DLLCOMPARE(Qoo酷儿汉化,本帖10楼有下载)——侦察可执行文件.exe及其所在位置。 �}�]M'f:%b
da~_(�giD*
注:DLLCOMPARE不能放置在带双字节的目录中运行,例如是中文命名的文件夹,即不能放置在“桌面”中运行。 -GMaK.�4�=
Q{5�.;{/eC
【工具2】:KillBox(Qoo酷儿汉化,本贴11楼有下载)——删除病毒文件.exe。 *Z\AO�'h=Z
� 7Pu�YrJ
【工具3】:IceSword——删除.sys文件用(本例是msdirectx.sys)。IceSword是免费软件,网上可以找到。目前最新版本是1.10。 '��(Si�v�D
,�c0t#KgQ.
接下来说说查杀过程: �X�wf�R/4�
1、重启到安全模式下。运行DLLCOMPARE,扫描、比较C盘中的.exe,找到多出来的那些.exe,很可能就是你要找的病毒创建的可执行文件。 c[V.j+Iy#^
2、接着,在安全模式下,确认病毒文件名及其所在路径后,用KillBox强行删除病毒的.exe文件。 H!6�+x*P�0
3、重启到普通WINDOWS 模式后,用WINDOWS的搜索功能寻找病毒的“隐身工具”——msdirectx.sys。找到后,用IceSword删除。 �^(Z%�,j3O
4、搜索病毒在注册表中添加的键值。找到后删除。 Wsp c�;�]&
�7=�N�Kbv]
至此,杀毒操作完成。 M6 8f�oeeN
K'�/if5>Bc
注1:DLLCOMPARE扫出来的“多余文件”并非全部是病毒文件,应仔细甄别。如果确实搞不清楚那个是病毒文件,删除前务必备份待删除的文件,以防误删! 1M�6^B��rx
注2:本贴是就一个特定的样本谈被动中招后的手工查杀思路与操作。病毒、木马的变种不止这一个。自己动手查杀时,请不要拘泥于本帖提到的具体的病毒文件名。不同的变种感染系统后,生成的病毒文件名是不一样的。 ho)JY
$�#6
