Friday, March 24

中招了:木马入侵记

昨晚要找一个低版本的Daemon Tools,随便在百度搜了一个下载。

一安装,杀毒软件就报警,发现了两个病毒。赶紧察看系统进程,发现除了已经被隔离的病毒之外已经植入了好几个未知(不招即来)的程序,并且有一个“AutoUpdate”进程正在跟网络通信。
在这一分钟里,安装了一个PodCast软件、一个P2P网络电视软件,一个中搜划词搜索,一个桌面媒体等,就是没有我所要的Daemon Tools。
我赶紧杀除进程之后卸载这几个程序,并且把启动项的相应项删掉。其中隐藏在System32目录下的servehost.exe 和svrhost.exe欺骗性最强。如果你现在能够在硬盘里发现这两个文件,那么恭喜你,你早就中招了。

HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run
中有一个启动项,执行C:\Program Files\Internet Explorer\PLUGINS\SVCHOST.exe,昨晚我拿不定主意到底这个是不是木马文件。刚才看了一遍,才肯定了:这个文件的成立日期就是昨晚安装软件的时刻。这个文件把我骗了过去,因为在System32\svchost.exe是一个正常的系统文件,所以在我察看系统进程的时候,被这个放在IE目录的SVCHOST.exe混过去了。

还发现在System32目录下还有一个setupAD.exe,放在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce
之中启动。太阴险了;一般人只察看\CurrentVersion\Run目录,而且MSCONFIG也是忽略这个\CurrentVersion\RunOnce的东西。再找找,
HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Runonce
中也有,很明显是双保险。

然后我很谨慎地在网易的网站上找到我想要的Daemon Tools安装,不敢再从不明网站上随便下载软件了。

这个故事告诉我们:即使是高手也会中招;不同的是,高手能马上发现错误并改正,而许多人机器里保留着木马隐患而不自知。

补录:周日在WinNT目录下发现一个Tempp目录,是那个假Daemon软件执行的时候释放出来的文件,包括:
1.exe (未知)
2.exe (未知)
3.exe (未知)
4.exe (未知)
BBseeWebSetup 北京宽客技术有限公司 P2P网络电视客户端软件
pcastbarminibs 福州天下创世数码有限公司 简单游软件
Setup_w0008.exe 北京锋力信息科技有限公司 青娱乐软件
WIS137.exe 广州傲讯信息科技有限公司 Trojan.Ourxin
zz42.exe 广州傲讯信息科技有限公司 Trojan.Ourxin

并发现C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper目录(也是在同一时间产生的,肯定由那个软件生成),是中搜的搜索猪软件。

这些商业公司用这种卑劣手段推广软件,比3721还流氓。

补录2:In Service:
C:\WINNT\System32\big5_gb2312.exe is added as ".Net Boot Service". Actually it is a Downloader.Trojan
C:\WINNT\System32\ServeHost.exe is added as "Remote Log", and described as "IE地址栏搜索服务程序。如果此服务被禁用,任何依赖它的服务将无法启动。". I mentioned this file at the begining of this article. It is a Backdoor.Trojan.
If they really are useful software, why did they have to hide themselves, using an ambiguous name or false name? There's a Chinese saying: If a good deed is known, it is a small good deed. If an evil is unknow, it is a big evil.