掐住吃內存大蟲的喉嚨——find.exe和cmd.exe和Rar.exe病毒

掐住吃內存大蟲的喉嚨——find.exe和cmd.exe和Rar.exe病毒

我們都聽說過，貝多芬“掐住命運的喉嚨”這句響亮而霸氣的話語。最近，本想開始寫日志的時候，一個“大蟲”擋在我的前面——find.exe和cmd.exe和Rar.exe病毒，筆記本裝的XP，這三個進程反復開啟，每次開機之后不到5秒系統就停止了動作了。我不想跟這條大蟲糾纏，就索性直接GHOST了，然而沒想到，恢復后，立刻死灰復燃，用另一設備查看網絡上說明，都是說無法殺掉。無奈啊，我機器上那么多資料加優盤上那么多的文件都感染了（大概500多G），於是抄起家伙，我要掐住這無聊大蟲的喉嚨。

查看網絡上對該病毒的解法，大致是：刪掉所有的.exe,或者格式化所有盤符。OH,GOD，我的那么多資料啊。不可行。我決定自己搞。

插入一些話：我真的很鄙視這幫制造病毒的家伙，許多病毒都沒什么技術含量，純屬給國內的殺毒軟件充數而已，有人甚至懷疑這些病毒就是殺毒軟件制造商釋放的（懷疑而已），病毒制造者們，能否出點新意，像CIH那樣的病毒，似乎好多年都沒見了，這些躲貓貓的玩意，真的很無趣。

在XP沒有死機之前，我啟動了任務管理器，看到了一堆的find.exe和cmd.exe和Rar.exe,還沒來得及操作，機器就死機了。

 

轉入正題：如何破解這個病毒的反復擴散吃完內存的怪圈呢？

因為XP正常啟動是一會就死，那就進安全模式吧。

還好安全模式進入了，啟動跟蹤工具，跟蹤得到如下信息：

 

紅色框內的信息是有問題的，這類東西不應該出現，特別是注意到：

該病毒已經關聯到svchost.exe中和msinfo32.exe系統文件了。

檢查啟動組：

啟動組還算正常，這兩個圈住的desktop.ini，一直都有，這也是個小型的后門程序，我一直沒有管它。我曾開發一個專門殺它的專殺程序，這次看到了還是一並解決到底吧。

 

看到這一步，我首先決定手動刪除:find.exe和Rar.exe（跟蹤地址顯示器為winRar.exe，因此我懷疑所有的.rar可能被感染）。Cmd.exe不能刪，cmd.exe是應該只是執行了某些指令，是一個橋梁，這個不需要刪除。然后看病毒如何應對該情況。

 

找到find.exe查看文件：

第一步嘗試處理：

刪除:c:\windows\system32\find.exe

卸載 winRar

重啟機器。

 

正常進入XP，CTRL+ALT+DEL手動打開任務管理器，雖然沒有出現find.exe，機器仍然在數秒內死機。

所以，應該有其他程序嵌入運行，重新進入安全模式。

使用工具重新檢查啟動項，沒有發現關聯的啟動項目，但是仔細再次看這些啟動監視記錄：

發現如下可疑的啟動進程。

.tmp文件結尾一般為臨時文件，很顯然這些文件的名字非常奇怪也很好辨認，根據其與svchost.exe的關聯，可以發現這些.tmp文件是在使用svchost.exe運行一些系統命令（例如創建進程和文件一類的命令），.tmp文件一般是為某些進程單獨服務的，可以認為這是一種“注入”手法（我個人認為），可以斷定這些.tmp也是非常關鍵的，那么找到多少刪除多少，看它怎么辦。

刪除所有能夠找到的.tmp。

然而這次只找到少量的.tmp，沒有找到hrl12.tmp這類命名的文件。

我刪除這些后，正常重啟xp，仍然數秒后死機，很沮喪，到底是什么原因？如果這些病毒已經到達驅動級別，我檢查服務以及驅動聯系是很繁瑣的，所以我認為可能未刪干凈。

 

再次回到安全模式下，重新執行查找：

終於找到以hrl命名的tmp，就是它們果斷刪除。

 

這里思考為什么兩次才能夠刪除，而后才不發作呢，我們會自然有疑問：思考如下>>>目前我們只知道這是一種注入式的執行程序。沒有其他線索，因此應當繼續挖掘。 

 

重啟回到正常XP模式下，機器剛開始頓了一下，然后並沒有像往常一樣死掉，歡呼，但是我知道所有的文件里面一定存在病毒殘余。於是開始清除殘余工作。

啟動更高級的監視程序，發現在內核模塊中有一個DLL被廣泛引用：

Lpk.dll   

該lpk.dll在許多目錄下均存在，初步判定為病毒。卸載該內核模塊。

 

使用工具，對系統進行優盤免疫（新裝的系統，還沒有進行免疫）。

 

嘗試將優盤接入，在根目錄下顯示所有文件（使用自己編寫工具強制顯示隱），並沒有看到lpk.dll。

 

此時頗為疑惑，然而一旦啟動某個.exe文件，立刻在內核模塊中發現lpk.dll產生，因此判斷在.exe中有某種綁定關系。

 

那么交給殺毒軟件吧，安裝免費版的KV3000，然后升級至最高版本，一會功夫，殺完了所有該病毒，查看清單，一大串的lpk.dll，以及一些殘留木馬（該病毒不僅占內存，而且主動從網上下木馬，我的機器是聯網的）。

 

這里思考為什么兩次才能夠刪除呢：我們知道這是一種注入式的執行程序。而且是依靠動態鏈接庫實現的與.exe文件綁定，只有在執行被感染.exe文件的時候，這些.tmp文件才會被創建，也就是說這種.tmp的生存周期是有限的，甚至是“碰巧激活”的（因為受感染的文件是你當時不確定的，你激活了哪個也是不確定的）。 

OK，至此，掐住了該大蟲的喉嚨，后斬斷之，到此結束。希望網友們都可以搞定該病毒，沒有想象那么可怕。