精华区文章阅读

发信人: guestnew (心情不好，别烦我...), 信区: Software
标  题: [合集] zz 完整消灭my123病毒
发信站: 哈工大紫丁香 (Thu Nov 16 21:02:11 2006), 站内

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 00:04:45 2006)  说道:

   前几天楼下朋友求助说主页被改 my123

惭愧，能调用的都调用了，2个小时就是搞不定，当时我还着急走，所以给他换了火狐暂
时应付，因还未看到其他危害表现。

今天看到技术分析贴，转来给感兴趣的同仁看看

----------------------------------------------

现在给出病毒的基本特征

病毒的核心部分是一个驱动程序

该驱动程序是随机文件名的.sys文件

疑似是之前piaoxue驱动的修正版

该驱动会在操作系统加载时作为System Bus Extend驱动加载

然后会将自身以独占方式打开,导致任何Windows下程序也无法读写及删除它

系统启动后,驱动开始分多个模块工作(分别建立多个线程)

1.服务保护模块:该模块会检测驱动自身的注册表服务项,不停地暴力重写自身服务项,使
得无法删除其服务项

2.自身文件独占及句柄检测保护模块等:

会将自身文件以独占方式打开,这样若不解除独占,任何windows下使用常规访问文件方法
的程序包括杀毒软件都无法读写或者删除它的驱动程序文件

文件句柄检测保护模块则是为了针对之前我的piaoxue类专杀而进行的保护

之前我的专杀会强制解除piaoxue类驱动对自身文件的独占,从而将其清除

但该驱动增加了这个保护,会不停检测自身文件的独占是否被强制解除,如果检测到,立即
再次独占

2.篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com,导致无法对
该项进行修复

下面来看看为什么这个流氓会在11月11日这天突然大面积爆发

该篡改模块会检测当前时间是否在2006年11月1日到2006年11月10日之间

如果在这段时间之内,那么则潜伏下来,只有模块1和模块2运行,不修改主页

到了11月11号这天,则启动模块3,强行篡改用户主页

也就是说　11月开始,该流氓早已在大量用户的机器上潜伏下来

(去看了下各个可能感染源的连接,每个都有数百万乃至数千万的下载量,有些更是在一些
知名的下载网站上)

然后一直不发作,等到11日,就会突然发作,造成“my123流氓不明原因大面积爆发”的现
象,既使反流氓组织措手不及,又使得查出流氓感染源变得困难重重,从piaoxue,feixue,
再到现在的my123,其流氓手段已经同病毒无异,此次的my123已经完全具备了衡量病毒的
三大特征: 潜伏性、传播性、破坏性.

在我们在道德上对这些病毒作者及网站站长进行谴责的同时,这些人更应受到法律的制裁
.

早上公司一同事机器重了此毒,用超级兔子、windows优化大师、木马分析专家等相关工
具均无法消灭它。该毒产生的两文件均为随机产生的8位英文文件名.

注:本贴例中病毒名为c:\windows\system32\drivers\ylmjrmfz.sys和c:\windows\syst
em32\xkliqlev.dll

其它机上应为X:\windows\system32\drivers\********.sys和X:\windows\system32\**
******.dll

1.使用上问所提到的my123.com恶意病毒专杀工具,地址上已附;查之发现重启后症状依旧
,打开IE主页仍然是www*my123*com；再查两病毒文件依然存在;进安全模式删除两文件，
发现被系统当驱动引导,保护了起来,无法删除。

2.安全模式删不了,咱从dos下灭它。于是乎下载个vfloppy(虚拟启动软盘设置程序),安
装完毕后。重启动机器,选从虚拟软盘启动,选file manager,进入相关目录,删除两文件
;之后reboot

3.进去win系统,可能会发现系统提示"找不到指定的模块.加载xkliqlev.dll失败";这是
正常的,因为病毒文件被删无法加载嘛,进去注册表查找ylmjrmfz.sys和xkliqlev.dl两文
件相关键值，全删之.重启

4.进入系统不报错了,发现两病毒文件已经不在了,打开IE主页修改为空白页面成功.再运
行my123.com恶意病毒专杀工具，提示"没能在您的机器上发现飘雪/MY123!" -----大功
告成

PS:担心又中招者，可以考虑用超级兔子的“超级兔子上网精灵”锁定IE主页

本文献给深受其害的菜鸟们,有不明之处欢迎pm偶～～～

顺便bs下无耻的my123站长,为了流量你连良心都不要了

-----------------------------------------

专杀我一会附一个

作者的一些额外话

先转一个贴子作引:

11月11日上午,各反流氓软件网站,杀毒软件,安全站点论坛接到大量用户报告,表示其主
页被恶意软件篡改为 my123.com,无法修复.从规模及爆发面积来看,全国各地可能有数百
万甚至上千万用户被该流氓恶意修改了主页,这和之前爆发的大面积 piaoxue.com,feix
ue.net,73ss.com,9505.com,81915.com,4199.com等恶意修改用户主页,十分相似.

同以往的一些“老流氓”相比,这些新流氓的特征是爆发面积特别大,效果明显,目的明确
单一(修改主页),手段新奇狠毒,这次的my123.com流氓又有了一个新的特点,就是集中在
11日周六安全公司及反流氓组织休息时,突然全面爆发使得它们中的绝大多数措手不及
,无法有效抑制病毒爆发手段卑劣

我于下午4时从360safe论坛得到恶意软件的病毒样本,并开始病毒代码逆向分析,找到病
毒软肋后,同360safe官方连夜开始制作专杀工具,并于第 2天凌晨1时20分放出可查杀2个
变种的专杀工具,凌晨3时07分放出可查杀5个变种的专杀工具,可将该病毒彻底清除之,重
新还原首页.

需要的朋友请到此贴下载:

http://bbs.360safe.com/viewthread.php?tid=29751&extra=page%3D1&page=1

运行查杀工具后自动检测系统是否存在my123及piaoxue、feixue、qqhelper、zaphast等
恶意软件,若存在,点清除　即可杀除之,非常简单　呵呵

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 00:07:13 2006)  说道:

  附件专杀

【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    前几天楼下朋友求助说主页被改 my123
: 惭愧，能调用的都调用了，2个小时就是搞不定，当时我还着急走，所以给他换了火�..
: 时应付，因还未看到其他危害表现。
: 今天看到技术分析贴，转来给感兴趣的同仁看看
: ----------------------------------------------
: 现在给出病毒的基本特征
: 病毒的核心部分是一个驱动程序
: 该驱动程序是随机文件名的.sys文件
: ...................

※ 来源:·哈工大紫丁香 http://bbs.hit.edu.cn·[FROM: 210.207.39.250]

────────────────────────────────────────
  Gforce ()第三个代表◎我佛慈悲|别样07?守望100天() 于  (Wed Nov 15 00:22:16 2006)  说道:

这个病毒非常讨厌,前两天一直没搞定
昨天被卡巴干掉了

【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    前几天楼下朋友求助说主页被改 my123
: 惭愧，能调用的都调用了，2个小时就是搞不定，当时我还着急走，所以给他换了火狐暂
: 时应付，因还未看到其他危害表现。
: ...................

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 00:58:48 2006)  说道:

   转杀挺好用, 刚下楼运行了一下,重起搞定  还可以对这类病毒设置免疫

【在 Gforce ()第三个代表◎我佛慈悲|别样07?守望100天() 的大作中提到: 】
: 这个病毒非常讨厌,前两天一直没搞定
: 昨天被卡巴干掉了

────────────────────────────────────────
  xpgdll (告别ＣＳ的人)            于  (Wed Nov 15 07:50:53 2006)  说道:

这个怎么和3721一样，流氓软件啊。
【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    前几天楼下朋友求助说主页被改 my123
: 惭愧，能调用的都调用了，2个小时就是搞不定，当时我还着急走，所以给他换了火狐暂
: 时应付，因还未看到其他危害表现。
: ...................

────────────────────────────────────────
  Gforce ()第三个代表◎我佛慈悲|别样07?守望100天() 于  (Wed Nov 15 10:25:28 2006)  说道:

今天又爆发了，用了专杀重启之后还有:(
【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    转杀挺好用, 刚下楼运行了一下,重起搞定  还可以对这类病毒设置免疫

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 11:11:36 2006)  说道:

    我昨天就觉得卡巴杀不了,这个东西我当时进了安全模式都没搞定, 当时红叶掉高
级注册表编辑器, 启动就挂  这个垃圾搞得很过分

   昨天改用专杀免疫一下

你去论坛看看有没有和你一样情况的, 病毒现在变种了,昨天我就看到有人说专杀也不
行, 不过我昨天用可以,而且只找到一个, 估计我当时让他不用ie ，也在一定程度上禁
止了病毒的变异  :D

btw:  受感染的浏览器正是现在鼎鼎大名的ie7  hiahia

【在 Gforce ()第三个代表◎我佛慈悲|别样07?守望100天() 的大作中提到: 】
: 今天又爆发了，用了专杀重启之后还有:(

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 11:24:46 2006)  说道:

   看到Gforce的贴，又回来看了一下技术分析

其实  只要有一张红叶  利用里面的

文件监视器  注册表监视器  冰刃  其他的小工具做辅，应该可以自己搞定的，就是麻
烦

通过注册表监视可以发现删除后重写，其实这种做法很暴露，现在绝大多数人对注册表
已经不陌生，很容易发现问题，借助监视器找程序和进程，然后找到具体的加载文件，
一个问题是冰刃是否能够杀除，如果不行，那就只好也是光启，然后清理dll文件

其实还是金钱和利益惹得祸   （小熊的话说）真没劲  :D

【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    前几天楼下朋友求助说主页被改 my123
: 惭愧，能调用的都调用了，2个小时就是搞不定，当时我还着急走，所以给他换了火狐暂
: 时应付，因还未看到其他危害表现。
: ...................

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 11:34:07 2006)  说道:

   忘了说了, 我那天先编辑了host 列表  把 my123 解析为 0.0.0.0了

  这样是小做个隔离,以备连接上去再次感染或者变异  (广告- 典型的诺顿的作风, 我
喜欢)

【在 Gforce ()第三个代表◎我佛慈悲|别样07?守望100天() 的大作中提到: 】
: 今天又爆发了，用了专杀重启之后还有:(

────────────────────────────────────────
  hitwdh (心灯@善待自己，尽力就好) 于  (Wed Nov 15 12:08:40 2006)  说道:

抛弃IE，用fx不会出这问题了吧？
我突然有一股拿fx上my123瞅瞅的冲动... :D

上去转悠了一圈，回来了，没有发现啥问题,嘿嘿~~

【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    忘了说了, 我那天先编辑了host 列表  把 my123 解析为 0.0.0.0了
:   这样是小做个隔离,以备连接上去再次感染或者变异  (广告- 典型的诺顿的作风, 我
: 喜欢)
: ...................

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 12:28:28 2006)  说道:

   你才有, 我是n早前就冲动过了，驾驶火狐横冲直撞人家说中毒，我就说，我上去看
看，然后结果没事弄得人家以为自己 rpwt :D

ps: 我先用火狐看了一下,ad plus的显示，没有异常成分。

所以我用ie访问了，依然没有问题  啥也不用说了 rp ^O^

【在 hitwdh (心灯@善待自己，尽力就好) 的大作中提到: 】
: 抛弃IE，用fx不会出这问题了吧？
: 我突然有一股拿fx上my123瞅瞅的冲动... :D
: 上去转悠了一圈，回来了，没有发现啥问题,嘿嘿~~
: ...................

────────────────────────────────────────
  software (,撕开你的封印吧,冬至中...) 于  (Wed Nov 15 12:49:28 2006)  说道:

    其实我现在的系统里，比起火狐我更佩服ie，太强，火狐我能把它弄坏，但是现在

的ie ，我是怎么也摆弄不了，怎么改也没用，你觉得他的设置不合适，想修改设置，可

他下次还恢复原样，流氓的的特征但是效果却是很好的保护了ie，给我的感觉是原来用

过一次红叶里面的各种免疫还有网上的一些垃圾免疫程序，后来终于ie挂了，在也不听

我使唤了，而且练就了一身百毒不侵的本领  我现在对它就是眼不见心不烦  偶尔也用

作代理之用其他就没了，所以和他也犯不着生气  :D

【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    你才有, 我是n早前就冲动过了，驾驶火狐横冲直撞人家说中毒，我就说，我上去看
: 看，然后结果没事弄得人家以为自己 rpwt :D
: ps: 我先用火狐看了一下,ad plus的显示，没有异常成分。
: ...................

────────────────────────────────────────
  express (总统|三人行,必有一灯泡;六人行,必有我师) 于  (Wed Nov 15 12:54:23 2006)  说道:

360safe，每年负责360天，剩下5天交给流氓软件

【在 software (,撕开你的封印吧,冬至中...) 的大作中提到: 】
:    前几天楼下朋友求助说主页被改 my123
: 惭愧，能调用的都调用了，2个小时就是搞不定，当时我还着急走，所以给他换了火狐暂
: 时应付，因还未看到其他危害表现。
: ...................

────────────────────────────────────────
  yefu (Firefox 2.0)               于  (Wed Nov 15 13:55:42 2006)  说道:

人家用的是农历

【在 express (总统|三人行,必有一灯泡;六人行,必有我师) 的大作中提到: 】
: 360safe，每年负责360天，剩下5天交给流氓软件

Software 版 (精华区)