病毒吧 关注:301,900贴子:1,195,283
  • 6回复贴,共1

QQ空间自动发垃圾广告之手杀独狼Rootkit

取消只看楼主收藏回复

首先,病毒可能的来源:

运行时,释放运行真的激活工具,任务管理器可以看到两个进程:

重启后,会联网下载配置文件,激活工具刚下载运行的那几天,配置文件还没添加,造成没有中毒的假象(容易误判中毒原因)。
一段时间后,配置文件添加了,可能如下:

然后电脑开始出现浏览器主页劫持、qq空间自动发垃圾广告等现象。
互联里取消授权,无效。
卸载重装qq,无效。
定时说说取消了,自动恢复。
禁止好友查看,自动恢复。
只有电脑不登录qq,才正常。
安装多个杀软查杀,检测不出。个别杀软无法安装或无法正常运行。
有心的会发现,打开C:\Windows\System32\drivers,显示一片空白,打开进程列表有个描述为pc dll的gameinc.exe或gameck.exe等。
如果是以上现象,可能是腾讯管家软文里提到的独狼Rootkit,可惜腾讯电脑管家拿这个病毒没办法,管家急救箱也是(可能是病毒针对)。

下面介绍Pchunter手杀。


IP属地:广东1楼2019-02-13 21:44回复
    下载安装Pchunter

    打开Pchunter,查看进程列表,按文件厂商排列,重点关注蓝色或红色项目,以及路径不正常的。通过文件厂商,百度搜索,查看文件数字签名,上传virscan扫描等方法判断是否病毒。

    如上图,一下子找到temp目录的可疑进程gameck.exe。百度搜索无果,文件无数字签名。上传virscan扫描。

    注意上面瑞星的报毒名,qq密码偷窃者的意思。确认病毒无疑,这个估计就是自动发垃圾广告说说元凶。
    可惜本例中只删除这个gameck.exe并不能解决问题,重启后又会自动生成,怀疑有母体。
    回到Pchunter,检查驱动,同样按文件厂商排列,观察红色和蓝色项目。


    从上图看,蓝色项目正常,没发现问题。
    切换到内核,系统回调,重点观察shutdown(关机回调)、cmpcallback(注册表回调)、createprocess(进程回调)、loadimage(映象回调),具体百度。
    很快可以定位到异常项:

    伪装成Microsoft系统文件了。回到驱动模块选项卡,按文件名排列,看到了可疑文件

    右击查看驱动文件属性,发现描述居然是ACPI.sys

    看下数字签名,居然是正常的系统签名,怀疑访问属性被重定向到acpi.sys(作死的在pchunter里删除了这个驱动,结果重启tcpip.sys丢失)


    IP属地:广东3楼2019-02-13 22:11
    收起回复
      发现驱动木马后,正确的做法是,安装PE到系统上(如微PE),重启进PE备份删除该文件(为了防止误删,一定要先备份!)。




      下面介绍Pchunter里直接删除驱动木马的方法(不推荐!!!)
      内核选项卡,系统回调里,删除驱动木马所有相关的回调。

      切换到文件系统选项卡,微端口过滤器,右击移除驱动木马过滤器

      回到驱动模块选项卡,右击查看驱动文件属性

      可以看到文件属性已经恢复正常了,上海域联的数字签名,驱动木马常用。这时可以删除木马文件和注册表了。

      最后,右击卸载驱动,至此病毒成功移除。
      安装杀毒软件全盘扫描接口(至少扫描C盘)。用杀软扫描收尾是必要的,手杀并不能解决系统文件替换、程序被感染、利用系统dll搜索顺序传播的dll蠕虫等.而这些是杀毒软件擅长的,手杀只能清理病毒的启动项,如:

      只要病毒不开机启动了,重启病毒就不会运行。


      IP属地:广东4楼2019-02-13 22:35
      收起回复
        遇上Pchunter无法加载驱动的情况,可以使用同类工具火绒剑(火绒安全,扩展工具)

        打开后,查看进程,按公司名排列,一下子定位到可疑进程gameck.exe。


        上面看到了一堆浏览器进程名,以及被劫持的主页。下面查看内核通知(Pchunter里的系统回调),发现可疑项:

        至此,可以进PE里备份删除文件了。备份后,删错了也不怕,可以再进PE还原。
        某些情况下,内核通知可能无法显示,可以查看内核模块钩子,发现可疑项:

        然后进PE,利用PE开始菜单的文件搜索工具搜索文件名,一般在drivers目录。找到后备份删除。


        IP属地:广东6楼2019-02-13 23:03
        收起回复
          驱动木马,运行在ring0层,不比ring3的木马进程,注册表木马启动项,木马服务等,可以随便删。
          ring0层的操作要格外小心,轻则蓝屏,重则系统崩溃无法进系统。
          如本例,直接强删木马文件,会导致系统驱动acpi.sys被删从而进不了系统。
          删除木马驱动过程,可能触发木马主动反抗,破坏系统。
          PE下,木马驱动失活,可以随便删。而且可以提前备份,出问题后还原。


          IP属地:广东来自Android客户端7楼2019-02-13 23:42
          收起回复
            PE下直接判断木马驱动的方法
            首先安装PE到系统上(上面有提到),重启进入PE,打开windows\system32\drivers

            右击文件夹空白处,查看详细信息

            右击文件夹空白处,选择更多排序方式

            按拼音首字母的英文顺序,勾选公司

            然后点公司,按公司名排列,一下子找到可疑驱动,文件名长度为8,由0-9和A-F组成。

            然后备份驱动文件,再删除驱动文件。重启后用杀毒软件全盘扫描(或只扫C盘)。


            IP属地:广东8楼2019-02-14 17:02
            收起回复
              该病毒新版本特征,有pclu.exe进程,mini.lohaslady最热搜弹窗。


              IP属地:广东来自Android客户端26楼2019-04-14 23:55
              回复