Shunze 學園 - 《分享》灰鴿子病毒來襲

Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》灰鴿子病毒來襲

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》灰鴿子病毒來襲

同事從上海歸來，順便也把“麻煩”病毒【灰鴿子】一起帶回來了...

中毒電腦有一個明顯特徵，就是所有分割區的根目錄都有autorun.inf及runauto..這個隱藏卻又殺不掉的資料夾；
而且「命令提示工具」、「regedit」、「msconfig」等工具無法打開。

在autorun.inf的影響下，只要讀取或執行該分割區時，
都會透過自動播放檔autorun.inf導引系統去執行位在runauto..下的病毒本體autorun.pif。

該autorun.inf的內容如下

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

可以看出不論是“打開”或是“瀏覽”該分割區，都會去執行autorun.pif。
由於內文的中文為簡體文字，所以在繁體中文上電腦來看，都會顯示亂碼。
(從這點來看，這個病毒應該是大陸製造...)

刪掉autorun.inf並不能有效的解決中毒問題，
因為病毒本體、執行中的分身程式及註冊機碼中都留有病毒執行的程序指引！
要殺除這個病毒，首先必需停止KKDC服務，然後刪除病毒本體及分身，最後清除註冊機碼中的相關資訊。

以下為殺毒方法

由於cmd.exe(命令提示工具)及regedit.exe(註冊機碼修改工具)無法使用，
所以先複製這兩個檔案為ghcmd.exe及ghedit.exe。
(cmd.exe在C:\WINDOWS\SYSTEM32\下；
regedit.exe在C:\WINDOWS\路徑下。)
在「系統管理工具」中的「服務」中找到Kerberos Key Distribution Centers 服務並停止它。
刪除C碟中毒程式，包括c:\windows\下的lsass.exe、setuprs1.pif、cmd.exe.exe、regedit.exe.exe及r.exe。
(正確的系統程式lsass.exe是位在c:\windows\system32\下。)
刪除各分割區根目錄下病毒檔案及資料夾，包括autorun.inf及runauto..這個資料夾。
不過runauto..是一個特殊資料夾，雖然其顯示為runauto..，不過事實上它應該是runauto..\，
其中含有一個不合法字元“\”，所以無法刪除。
要刪除它，必需透過第一步建立的ghcmd.exe工具，下達RMDIR X:\runauto...\ /S /Q 來刪除它。
(其中 X 為分割區代號。)
清除註冊機碼中的病毒資訊。
由於註冊機碼工具無法使用，所以請利用第一步驟的複製的ghedit.exe來修改。
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe機碼。

刪除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\中的kkdc機碼。(如果有的話)

刪除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List中的C:\WINDOWS\lsass.exe鍵值。
(其內容為C:\WINDOWS\lsass.exe:*:Enabled:lsass.exe)

查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\中是否存在kkdc機碼，如有則删除。

查看KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List中，
是否有C:\WINDOWS\lsass.exe鍵值，如有則刪除。
(其內容為C:\WINDOWS\lsass.exe:*:Enabled:lsass.exe)
最後重開機，刪除第一步驟複製的ghcmd.exe及ghedit.exe啟可。

上述2，3，4個步驟可以透過以下批次檔程式來完成。

@echo off
echo "先中止病毒程序"
NET STOP "Kerberos Key Distribution Centers"

echo "刪除C碟中毒文件"
DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A
DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\r.exe /F /Q /A R H S A

echo "刪除各分割區根目錄下病毒檔案"
RMDIR C:\runauto...\ /S /Q
DEL C:\autorun.* /F /Q /A R H S A
RMDIR D:\runauto...\ /S /Q
DEL D:\autorun.* /F /Q /A R H S A
RMDIR E:\runauto...\ /S /Q
DEL E:\autorun.* /F /Q /A R H S A
RMDIR F:\runauto...\ /S /Q
DEL F:\autorun.* /F /Q /A R H S A
RMDIR G:\runauto...\ /S /Q
DEL G:\autorun.* /F /Q /A R H S A

echo "文件刪除完畢，請清理註冊表相關項目。"

其中C，D，E，F，G為您電腦的分割區，有幾個就寫幾個。
將以上文字另存為副檔名bat的批次檔，透過第一步驟的ghcmd.exe來執行此批次檔。
最後再清除註冊機碼，重開機清除第一步驟複製的ghcmd.exe及ghedit.exe即可。

【灰鴿子】至此，總算成功刪除～ :O

註：
由於病毒只會封鎖cmd.exe、msconfig.exe、regedit.exe、regedt32.exe這幾個系統工具名稱，
所以我們可以透過變更檔案名稱的方式來呼叫這些工具。
這也是為什麼將名稱變更為ghcmd.exe及ghedit.exe的原因。

事實上並沒有強制要求名稱必需變更為ghcmd.exe及ghedit.exe。
只要不同於cmd.exe及regedit.exe或是複製到不同路徑下就可以了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2007-05-02, 10:12

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》灰鴿子解毒批次檔實作

最近因為 kavo 這隻病毒，讓我對批次檔的撰寫有了一點基本概念；
加上意外發現老闆的NB又再次中了灰鴿子病毒...
所以閒著也閒著，順子利用這難得的颱風假，實作了灰鴿子的解毒批次檔～

灰鴿子的解毒原理如上文所述。
以下的批次檔內容除了cmd.exe這個部份未複製外，已將完整解毒程序收編在其中。

@echo off
cls

echo "產生解毒工具。"
COPY %windir%\regedit.exe C:\ghedit.exe

echo "中止病毒程序。"
NET STOP "Kerberos Key Distribution Centers" >nul 2>nul

echo "刪除系統碟中的中毒文件。"
DEL %windir%\lsass.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\setuprs1.pif /F /Q /A R H S A >nul 2>nul
DEL %windir%\cmd.exe.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\regedit.exe.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\r.exe /F /Q /A R H S A >nul 2>nul

echo "刪除各分割區根目錄下病毒檔案。"
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
echo 清除%%a碟中...
for %%b in (EXE COM PIF) do (
attrib -r -s -h -a %%a:\RECYCLER\*.%%b /s >nul 2>nul
attrib -r -s -h -a %%a:\RECYCLED\*.%%b /s >nul 2>nul
del %%a:\recycler\*.%%b /s /q /f >nul 2>nul
del %%a:\recycled\*.%%b /s /q /f >nul 2>nul
)
RMDIR %%a:\runauto...\ /s /q >nul 2>nul
DEL %%a:\autorun.* /f /q /a r h s a >nul 2>nul
)

echo "清理註冊表中相關項目。"
@echo Windows Registry Editor Version 5.00 >C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkcc] >>C:\fix.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fix.reg
@echo "C:\\WINDOWS\\lsass.exe"=- >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkcc] >>C:\fix.reg
@echo [KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fix.reg
@echo "C:\\WINDOWS\\lsass.exe"=- >>C:\fix.reg

C:\ghedit.exe /s c:\fix.reg

echo "刪除解毒過程中產生的檔案。"
DEL C:\fix.reg >nul 2>nul
DEL C:\ghedit.exe >nul 2>nul

echo "解毒完成，請重新開機。"
pause

在批次檔中之所以未複製cmd.exe這個檔案，其原因在於批次檔本身必需依附在cmd.exe中執行。
所以，如果能順利執行此批次檔的話，代表cmd.exe已能正常運作，何來複製的必要？

如果無法執行此批次檔，那麼還是必需靠您自己手動複製一個cmd.exe。
(記住喔～原始路徑下的cmd.exe名稱已被灰鴿子封鎖，所以一定要改個名字或是複製到其它路徑下才行！)
然後在透過這個異名、自行複製的cmd來執行此批次檔。

解灰鴿子病毒的批次已附加於本文中，請自行下載解縮壓後使用。

shunze 上傳的檔案

delPIF.zip (1 KB, 已經被下載 1872 次)

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2007-09-18, 11:29

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《注意》PIF病毒樣本

果然一如預期，中毒後cmd.exe工具已遭病毒封鎖，無法直接連點兩下批次檔進行解毒程序。

所以要解此病毒，首先必需先到C:\windows\system32\目錄下，複製出cmd.exe工具，
然後才有辦法透過這個複製的cmd工具來執行解毒的批次作業。
(這也是在上文所提到沒有必要在批次檔中複製cmd工具的原因了。)

建議將複製的cmd工具和解毒批次檔放在同一目錄下，
然後在此cmd的命令提示視窗中，輸入delPIF.bat(解毒批次檔的檔名)進行解毒。

本文的附加檔是PIF病毒的樣本。
(解壓縮密碼是 virus )
小心！解壓縮後，執行此 autorun.pif 即會中毒！請小心使用。

PS.
實際運行此病毒後，發現它會刪除磁碟分割區中的autorun.inf，然後換成自己的導引檔。
這也就是說，在磁碟分割區的根目錄下建一個autorun.inf的資料夾以預防病毒寫入，
這招素沒有用滴...

shunze 上傳的檔案

autorun.pif.rar (271 KB, 已經被下載 1907 次)

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2007-09-20, 10:48