手动清除那些利用了映像劫持技术的病毒

手动清除那些利用了映像劫持技术的病毒

作者：李铁军　来源：赛迪网

这几天一直想要把这个经验写一下，总没抽出时间，晚上加加班。样本已经被杀毒U盘的监控干掉，本文回忆下修复过程。

现象

一媒体朋友的笔记本染毒，杀毒软件起不来。开机就弹出若干个窗口，总也关不掉，直到系统内存耗尽死机，安全模式也是同样的现象。无奈之下，尝试重装系统，不过，因为不少人都知道的原因，她只是格式化了C分区，系统重装后，访问其它分区后，再次出现重装前的中毒症状。

从上述现象至少得到2个信息：1、病毒会通过自动播放传播；2、病毒可能利用映像劫持。

故障现象

检查故障机，重启时，很自然的想到启动到带命令行的安全模式。运行regedit，结果失败。msconfig一样失败。改regedit.exe为regedit.com，同样失败，没有继续尝试改别的名字。重启电脑进普通模式，想看一下具体中毒的现象。

登录到桌面后，发现一个类似记事本的程序不停打开一个小对话框，速度很快，根本来不及关闭，任务管理器也调不出来。立即拿出我的杀毒U盘，其中常备ProcessExplorer、冰刃、Sreng。发现杀毒U盘没有正常的启动成功。双击冰刃/Sreng都宣告失败。

解决步骤

分别对将icesword和Sreng主程序改名后运行，此时，那个象记事本的病毒程序已经打开近百个对话框，系统变得很慢。在WINXP的任务栏选中这一组窗口，关闭掉，先抢占一些系统资源再说。

然后，双击U盘上的ProcessExplorer，一眼看到有记事本图标的三个进程，尝试结束其中一个，发现结束后，程序会立即重新启动。看来，直接KILL进程是不行的。结束不行，就用下冻结进程，分别选中这三个进程，单击右键，在进程属性中选择Suspend（暂停）进程，病毒就不再弹出新的对话框，杀它就容易了。（参考下图的示例：）



切换到冰刃，简单地通过进程管理，根据病毒进程的程序位置和文件名，轻松使用冰刃内置的文件管理器浏览到这几个文件，复制一个备份到桌面，再单击右键，选择强制删除。

（下图演示冰刃的强制删除）：



接下来，再切换到冰刃窗口中的注册表编辑器，浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，逐个查看子注册表键中对应的程序名，找到另一个病毒程序。（这里要说明一下，有网友认为只需要保留Your Image File Name Here without a path子键，其它都可以删除。觉得这样做还是有风险的，谨慎的做法还是一个子键一个子键的检查，如果发现键值为病毒程序的路径时，再删除这个子键）。



同样，需要使用冰刃的文件管理器将病毒程序强制删除。这个病毒太恶劣了，我发现几乎所有的杀毒软件、防火墙、系统自带的管理工具（regedit，msconfig，cmd，任务管理器）、第三方的系统辅助工具(Sreng、autoruns、冰刃）全部被劫持。

修复注册表后，双击杀毒U盘中的毒霸，新版杀毒U盘增加了监视功能，在我点击桌面备份的那几个病毒程序时，杀毒U盘的监控立即干掉了病毒。然后打开资源管理器，浏览到其它分区根目录，杀毒U盘又把另几个分区根目录下隐藏的病毒干掉。

另类解决方案

在你没有冰刃、Process Explorer时，可以用其人之道，还治其人之身。编辑一个修改注册表的批处理脚本，把病毒程序也给加到映像劫持的清单中，如下示例：

@echo off

echo Windows Registry Editor Version 5.00>ssm.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\syssafe.EXE] >>ssm.reg

echo "Debugger"="syssafe.EXE" >>ssm.reg （如果发现多个病毒程序，就编辑多行）

rem regedit /s ssm.reg &del /q ssm.reg （如果发现多个病毒程序，就编辑多行）

重启电脑后，病毒程序也启动不了，呵呵，比较毒吧，然后把注册表编辑器的程序名regedit.exe为其它的什么名字，双击后对注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项进行修改。再升级杀毒软件杀毒。

总结

对普通用户来说，遇到这类对抗杀毒软件很强的病毒，实在很棘手。使用杀毒软件轻松修复的可能性很小，手工修复对普通用户来说，很有难度。

建议

1.使用组策略编辑器，关闭所有驱动器的自动播放功能（自动播放功能传播了太多的病毒）。

2.及时升级杀毒软件，防止被这类病毒袭击，中招后再去处理，需要花更多功夫。

3.一旦中毒，应立即联系专业反病毒工程师协助，重装系统不是好方法。

联想网站被挂马殃及新浪主页

刚刚打开新浪网，偶滴avast竟然突然尖叫起来，说是发现病毒！立此存照如下：





病毒名称：Uruguay 6／7／8

链接地址：h**p://d1.sina.com.cn/200705/30/93191_58590.swf (本来是http)

是个flash文件，赶紧把它down下来，去http://www.virustotal.com/en/indexf.html 测试下看看，这年头误报的多了，一家之言不敢相信啊！省得误导群众，呵呵！

测试结果如下：





哈，只有avast在报病毒，其他的杀毒引擎没有丝毫反应，看来我是倾向于avast的误报了。

于是关闭avast, 大胆的将误报的病毒打开，同时开启主动防御软件：E盾，看一下到底是啥米东东：





哈，出来的是联想的广告，偶滴E盾没有任何反应，看来真的是avast在误报了！

唉～～。没新闻咯～～

尝试着点击一下这个广告链接！进入笔记本主页！晕，发现偶滴电脑有点不对劲了！突然web迅雷启动，出现一个自动下载窗口，如下：





赶紧打开C盘跟目录，去掉系统文件隐藏显示！发现已经无法显示隐藏内容～～

哈，已经中毒了！

赶紧打开联想广告链接出的源文件，不看不要紧，一看～～～：在此

我可以负责任的在此声明，是联想的网站被挂马了！！！！





看，源文件第一行即为木马所在地！！

终于知道为什么打开新浪主页我的avast会报病毒了！首先联想在新浪主页上做了一个flash广告，flash广告本身是没有什么问题滴，但是联想flash广告所链接的地址：http://www.lenovoad.com/client/20070523/?wodooPublishID=40002959 上面被挂马了！所以只要点击这个flash广告，就会立刻进入挂马的链接，也就中招了！ 强啊，真的强啊！哦，我不是说木马强，而是说avast强了，看来我是错怪它了！在所有的杀毒引擎中，只有avast能够将两层链接中的挂马网站能够查出来，真是太强了！

顺便批评一下E盾同志，avast老大不在家，偶本来指望你帮我暂时看一会门来着，你却让马儿在你眼皮地下溜进去了！平时看你很勤快的，开个word，ie什么的你都很勤快的向我汇报，关键时候却掉链子！唉……，中毒了，杀毒去也～～

又去联想网站看了一下，哈，他们也发现了，马儿撤走了呢！