家里有两台电脑,一台联想品牌机,给老爸这个摄影爱好者用;一台是我工作用的DELL笔记本。
系统都是深度5.10 XP精简版,联想上是小红伞,DELL上是nod32,都是最新版病毒库,默认设置。
先是6月6日晚上,联想上小红伞报毒,用procexp查看进程,多了几个随机的英文字母组成的exe文件,描述栏显示“OEMUpdate”。这几个exe还在不停的创建进程。用小红伞阻止,关掉进程,打开360,发现多了4个系统服务,名字procexp里的exe一样。重启进安全模式,360关服务、小红伞全盘杀毒,清理掉了一些,但是未发现病毒本体。因为之前对C盘做过ghost备份,恢复系统后,先升级小红伞,然后安装其他程序时,程序本身运行时其本身功能失效,又出现同样的中毒现象。当时第一反应是病毒把我正常的exe文件感染了,因为时间比较晚,所以作罢,准备第二天继续。
第二天,用自己笔记本上网搜索有没有相关信息,结果在上网的过程中,我的DELL也中了。这里要说明一下,我在一所大学的信息中心工作,使用习惯很好,下载文件也很谨慎,所以当时是莫名其妙的中招!
中招后的现象比联想更加严重。xp直接蓝屏重启,重启后nod32就没有了,360无法打开,procexp显示现象是一样的。重启进入安全模式,发现安全模式已经被破坏,一进就重启。用ghost恢复系统后,发现大量的exe文件被更改。右键属性会显示版本信息,被感染后就没有了,文件的修改时间就定格到中毒那一刻。只要运行该exe文件,马上中毒!当时开着迅雷,迅雷就不断提示新增下载任务,并且开始弹广告窗口。
后来想起了微点,下载安装了最新版的微点,终于拦截住了。虽然恢复系统比较及时,但是硬盘上大量exe文件已被感染,全部无法运行,双击后没有任何反应,紧接着微点就报。
可疑程序日志引用:
时间 处理结果 可疑程序进程名 可疑程序文件创建者 描述
2008-06-07 20:38:12 阻止 C:\WINDOWS\QITUDDH.EXE D:\GAMES\_ORGAME\POPCAP.FEEDING.FRENZY.2.V1.0\FEEDINGFRENZY2SETUP.EXE 试图修改系统时间
2008-06-07 20:38:06 阻止 C:\WINDOWS\QITUDDH.EXE D:\GAMES\_ORGAME\POPCAP.FEEDING.FRENZY.2.V1.0\FEEDINGFRENZY2SETUP.EXE 试图修改系统时间
2008-06-07 19:44:27 阻止 C:\WINDOWS\ASJLEQDCBL.DLL C:\WINDOWS\MUZGZBZFAGQH.EXE 其它可疑动作
2008-06-07 19:44:15 阻止 C:\WINDOWS\FLEHSVGX.EXE D:\GAMES\水晶连连看V1.1特洛伊版.EXE 试图修改系统时间
2008-06-07 19:44:10 阻止 C:\WINDOWS\FLEHSVGX.EXE D:\GAMES\水晶连连看V1.1特洛伊版.EXE 试图修改系统时间
可惜,进程启动日志和程序生成日志被我在试验微点功能的时候给清除了-.-。
其大概流程是,运行被感染的exe文件后,首先释放出病毒,英文随机名字的exe、com或dll,然后修改系统时间,继续释放其他病毒(不知道是不是同一个功能),然后加载到启动和系统服务。尽管后来用了微点,但还是出现过几次微点拦截后系统自动重启的情况。病毒会下载其他木马,然后执行不同的指令。我观察到的现象有弹广告,迅雷有下载任务提示。
第一次遇到这么厉害的病毒,并且毁坏了大量的exe文件,实在是有些手忙脚乱,精疲力尽。反复ghost恢复系统多次并安装微点,才给拦截住。因为电脑上有很多工作的资料,实在是不敢测试了,下了卡巴、金山和瑞星(因为有免费试用期),也没装,直接装的微点。之后只能依靠查看文件修改日期判定是否中毒,大部分感染病毒的exe文件都被我删除了,怕怕啊。
附件只能小于50K,我手里的一个染毒文件压缩后也要600多K,传不上来。附上VirSCAN.org对该文件的检测报告吧,不知道论坛上的高人有没有遇到的。如果需要,我可以提供这个文件。
提示帖子超长,VirScan.org检测报告附后。
P.S. 微点一开始报告的时候提示未知木马,更新后就有名字了。但我新来乍到,手里的信息有限,没有查询到相关信息。所以发这个帖子,以求解惑。引用:
时间 处理结果 木马名称 木马进程名 木马文件创建者
2008-06-07 20:38:15 处理成功 未知木马->Backdoor.Win32.Agent.atq C:\WINDOWS\QITUDDH.EXE D:\GAMES\_ORGAME\POPCAP.FEEDING.FRENZY.2.V1.0\FEEDINGFRENZY2SETUP.EXE
2008-06-07 20:38:09 处理成功 未知木马->Backdoor.Win32.Agent.atr C:\WINDOWS\SDJYMEPD.EXE C:\WINDOWS\QITUDDH.EXE
2008-06-07 19:46:53 处理成功 未知木马->Backdoor.Win32.Agent.atr C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\LBAWPEBATNAME.EXE
2008-06-07 19:44:31 处理成功 未知木马->Backdoor.Win32.Agent.atq C:\WINDOWS\ASJLEQDCBL.DLL C:\WINDOWS\MUZGZBZFAGQH.EXE
2008-06-07 19:44:25 处理成功 未知木马->Backdoor.Win32.Agent.atq C:\WINDOWS\FLEHSVGX.EXE D:\GAMES\水晶连连看V1.1特洛伊版.EXE
