Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》灰鴿子病毒來襲 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》灰鴿子病毒來襲引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

同事從上海歸來,順便也把“麻煩”病毒【灰鴿子】一起帶回來了...

中毒電腦有一個明顯特徵,就是所有分割區的根目錄都有autorun.infrunauto..這個隱藏卻又殺不掉的資料夾;
而且「命令提示工具」、「regedit」、「msconfig」等工具無法打開。

在autorun.inf的影響下,只要讀取或執行該分割區時,
都會透過自動播放檔autorun.inf導引系統去執行位在runauto..下的病毒本體autorun.pif

該autorun.inf的內容如下

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif


可以看出不論是“打開”或是“瀏覽”該分割區,都會去執行autorun.pif。
由於內文的中文為簡體文字,所以在繁體中文上電腦來看,都會顯示亂碼。
(從這點來看,這個病毒應該是大陸製造...)

刪掉autorun.inf並不能有效的解決中毒問題,
因為病毒本體、執行中的分身程式及註冊機碼中都留有病毒執行的程序指引!
要殺除這個病毒,首先必需停止KKDC服務,然後刪除病毒本體及分身,最後清除註冊機碼中的相關資訊。


以下為殺毒方法
  1. 由於cmd.exe(命令提示工具)及regedit.exe(註冊機碼修改工具)無法使用,
    所以先複製這兩個檔案為ghcmd.exeghedit.exe
    (cmd.exe在C:\WINDOWS\SYSTEM32\下;
    regedit.exe在C:\WINDOWS\路徑下。)

  2. 在「系統管理工具」中的「服務」中找到Kerberos Key Distribution Centers 服務並停止它。
  3. 刪除C碟中毒程式,包括c:\windows\下的lsass.exesetuprs1.pifcmd.exe.exeregedit.exe.exer.exe
    (正確的系統程式lsass.exe是位在c:\windows\system32\下。)
  4. 刪除各分割區根目錄下病毒檔案及資料夾,包括autorun.inf及runauto..這個資料夾。
    不過runauto..是一個特殊資料夾,雖然其顯示為runauto..,不過事實上它應該是runauto..\,
    其中含有一個不合法字元“\”,所以無法刪除。
    要刪除它,必需透過第一步建立的ghcmd.exe工具,下達RMDIR X:\runauto...\ /S /Q 來刪除它。
    (其中 X 為分割區代號。)
  5. 清除註冊機碼中的病毒資訊。
    由於註冊機碼工具無法使用,所以請利用第一步驟的複製的ghedit.exe來修改。
    刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
    中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe機碼。

    刪除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\中的kkdc機碼。(如果有的話)

    刪除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List
    中的C:\WINDOWS\lsass.exe鍵值。
    (其內容為C:\WINDOWS\lsass.exe:*:Enabled:lsass.exe)

    查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\中是否存在kkdc機碼,如有則删除。

    查看KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List
    中,
    是否有C:\WINDOWS\lsass.exe鍵值,如有則刪除。
    (其內容為C:\WINDOWS\lsass.exe:*:Enabled:lsass.exe)

  6. 最後重開機,刪除第一步驟複製的ghcmd.exe及ghedit.exe啟可。


上述2,3,4個步驟可以透過以下批次檔程式來完成。
@echo off
echo "先中止病毒程序"
NET STOP "Kerberos Key Distribution Centers"

echo "刪除C碟中毒文件"
DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A
DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\r.exe /F /Q /A R H S A

echo "刪除各分割區根目錄下病毒檔案"
RMDIR C:\runauto...\ /S /Q
DEL C:\autorun.* /F /Q /A R H S A
RMDIR D:\runauto...\ /S /Q
DEL D:\autorun.* /F /Q /A R H S A
RMDIR E:\runauto...\ /S /Q
DEL E:\autorun.* /F /Q /A R H S A
RMDIR F:\runauto...\ /S /Q
DEL F:\autorun.* /F /Q /A R H S A
RMDIR G:\runauto...\ /S /Q
DEL G:\autorun.* /F /Q /A R H S A

echo "文件刪除完畢,請清理註冊表相關項目。"


其中C,D,E,F,G為您電腦的分割區,有幾個就寫幾個。
將以上文字另存為副檔名bat的批次檔,透過第一步驟的ghcmd.exe來執行此批次檔。
最後再清除註冊機碼,重開機清除第一步驟複製的ghcmd.exe及ghedit.exe即可。

【灰鴿子】至此,總算成功刪除∼ :O


註:
由於病毒只會封鎖cmd.exe、msconfig.exe、regedit.exe、regedt32.exe這幾個系統工具名稱,
所以我們可以透過變更檔案名稱的方式來呼叫這些工具。
這也是為什麼將名稱變更為ghcmd.exe及ghedit.exe的原因。

事實上並沒有強制要求名稱必需變更為ghcmd.exe及ghedit.exe。
只要不同於cmd.exe及regedit.exe或是複製到不同路徑下就可以了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-05-02, 10:12 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》灰鴿子解毒批次檔實作引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

最近因為 kavo 這隻病毒,讓我對批次檔的撰寫有了一點基本概念;
加上意外發現老闆的NB又再次中了灰鴿子病毒...
所以閒著也閒著,順子利用這難得的颱風假,實作了灰鴿子的解毒批次檔∼

灰鴿子的解毒原理如上文所述。
以下的批次檔內容除了cmd.exe這個部份未複製外,已將完整解毒程序收編在其中。

@echo off
cls

echo "產生解毒工具。"
COPY %windir%\regedit.exe C:\ghedit.exe

echo "中止病毒程序。"
NET STOP "Kerberos Key Distribution Centers" >nul 2>nul

echo "刪除系統碟中的中毒文件。"
DEL %windir%\lsass.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\setuprs1.pif /F /Q /A R H S A >nul 2>nul
DEL %windir%\cmd.exe.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\regedit.exe.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\r.exe /F /Q /A R H S A >nul 2>nul

echo "刪除各分割區根目錄下病毒檔案。"
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
echo 清除%%a碟中...
for %%b in (EXE COM PIF) do (
attrib -r -s -h -a %%a:\RECYCLER\*.%%b /s >nul 2>nul
attrib -r -s -h -a %%a:\RECYCLED\*.%%b /s >nul 2>nul
del %%a:\recycler\*.%%b /s /q /f >nul 2>nul
del %%a:\recycled\*.%%b /s /q /f >nul 2>nul
)
RMDIR %%a:\runauto...\ /s /q >nul 2>nul
DEL %%a:\autorun.* /f /q /a r h s a >nul 2>nul
)

echo "清理註冊表中相關項目。"
@echo Windows Registry Editor Version 5.00 >C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkcc] >>C:\fix.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fix.reg
@echo "C:\\WINDOWS\\lsass.exe"=- >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkcc] >>C:\fix.reg
@echo [KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fix.reg
@echo "C:\\WINDOWS\\lsass.exe"=- >>C:\fix.reg

C:\ghedit.exe /s c:\fix.reg

echo "刪除解毒過程中產生的檔案。"
DEL C:\fix.reg >nul 2>nul
DEL C:\ghedit.exe >nul 2>nul

echo "解毒完成,請重新開機。"
pause

在批次檔中之所以未複製cmd.exe這個檔案,其原因在於批次檔本身必需依附在cmd.exe中執行。
所以,如果能順利執行此批次檔的話,代表cmd.exe已能正常運作,何來複製的必要?

如果無法執行此批次檔,那麼還是必需靠您自己手動複製一個cmd.exe。
(記住喔∼原始路徑下的cmd.exe名稱已被灰鴿子封鎖,所以一定要改個名字或是複製到其它路徑下才行!)
然後在透過這個異名、自行複製的cmd來執行此批次檔。


解灰鴿子病毒的批次已附加於本文中,請自行下載解縮壓後使用。

shunze 上傳的檔案
delPIF.zip (1 KB, 已經被下載 1204 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-18, 11:29 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《注意》PIF病毒樣本引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

果然一如預期,中毒後cmd.exe工具已遭病毒封鎖,無法直接連點兩下批次檔進行解毒程序。

所以要解此病毒,首先必需先到C:\windows\system32\目錄下,複製出cmd.exe工具,
然後才有辦法透過這個複製的cmd工具來執行解毒的批次作業。
(這也是在上文所提到沒有必要在批次檔中複製cmd工具的原因了。)


建議將複製的cmd工具和解毒批次檔放在同一目錄下,
然後在此cmd的命令提示視窗中,輸入delPIF.bat(解毒批次檔的檔名)進行解毒。


本文的附加檔是PIF病毒的樣本。
(解壓縮密碼是 virus )
小心!解壓縮後,執行此 autorun.pif 即會中毒!請小心使用。


PS.
實際運行此病毒後,發現它會刪除磁碟分割區中的autorun.inf,然後換成自己的導引檔。
這也就是說,在磁碟分割區的根目錄下建一個autorun.inf的資料夾以預防病毒寫入,
這招素沒有用滴...

shunze 上傳的檔案
autorun.pif.rar (271 KB, 已經被下載 1295 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-20, 10:48 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR