TWed2k - 心得教學區 - [心得] 週六晚上與木馬「Wintems」(SROSA/W32.Beagle.GM)奮戰...

Observer
論壇第一龜毛

藏雲

．積分： 4858
．精華： 5
．文章： 9343
．收花： 41831 支
．送花： 9842 支
．比例： 0.24
．在線： 8090 小時
．瀏覽： 111880 頁
．註冊： 8000 天
．失蹤： 3 天
．單身宿舍

#1 : 2008-2-24 01:19 AM 全部回覆

送花 (38)

版主 jazzblue : 原創內容

評分:+1

最近我的差批經常出現藍白畫面，偏偏硬體檢查過又沒事
（我竟然先檢查硬體，真是昏倒）
然後發現隨身碟插進USB都變成「未格式化」
今天傍晚發現：咦？我的防毒軟體呢？

經驗告訴我是被病毒給關掉了
打開工作管理員，發現一個不認識的 process：「wintems.exe」
而且 Kill 不掉，幹...

Google 一下，原來這隻是德國人寫的
會註冊RootKit原件以服務方式來隱藏自己
讓你在工作管理員看得到卻抓不到檔案在哪
而且會 Disable 許多知名防毒軟體，甚至複製後取而代之偽裝成防毒軟體
會改登錄表讓開機讀自己或去讀已被感染的防毒程式
一旦發現防毒軟體關鍵字的程式，立刻殺掉取而代之並在登錄表中寫入開機啟動連結

網友有利用 RegRun 試用版，在開機時一步一步擋住
%System%\drivers\hidr.exe (或hidrrr.exe)
%System%\drivers\srosa.sys
這兩個該死的檔案
多開機幾次就可以殺得掉

不過大部分人的情況是殺完又會出現
這時必須考慮到舊的防毒軟體目錄那邊是不是還遺留著偽裝的病毒及其DLL檔案
如果有要一起殺掉

偏偏那個 RegRun 我不小心按錯誤刪了我的 dmadmin.exe (邏輯磁碟管理服務)
結果本來是重開機時要刪掉的病毒
當時的磁碟機代號就變成無法辨識
變成這隻必須在開機時殺的病毒，我就怎麼都沒辦法用 RegRun 殺掉

我只好利用 WinPE 進去
利用 Regedit 去刪一些 %system%\driver 以及登錄裡面的東西
刪完好像乾淨了
可是回到 XP，第一次開機沒事，第二次開機還是一樣又出現
幹.....

偏偏防毒軟體這時又裝不上去，開安全模式又會當機
幹XX....

最後我是利用 WinPE 開機，仔細把所有相關的都刪乾淨，包括RootKit服務：「Megadrv3」
重開機後
確定工作管理員裡面沒有任何不熟悉的 process 以後
馬上又檢查過一次登錄與相關目錄沒有任何異狀
然後把舊的防毒軟體目錄殺掉，殺不掉的用unlocker刪掉
重開機...

終於，這鬼木馬終於給我殺掉了！這王八羔子，幹！
趕快灌回新版防毒軟體...
搞了四個多鐘頭，真他母親的累...

這兩邊網頁有幫助
http://www.eranger.com.tw/virus.php?v_id=615
http://www.cgs.tw/nucleus/blog/1/item/2307

相關關鍵字: wintems srosa Beagle trojan Lodear Lodeight

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆