╃苍狼山庄╃╃苍狼山庄╃

Clang出品,
必属精品!

飘雪(piaoxue/feixue)的详细分析以及手工清除办法

一、概述
近来中了piaoxue.com和feixue.com招的用户很多,一直在想办法收集样本,今天终于下载了一个病毒包,里面有七八个流氓软件,其中有一个就是飘雪(现在流氓软件服务真好,买一送十)。以身试毒,把常有的武器都用上了,基本把它的思路分析清楚了。

二、过程分析
程序安装的时候,会首先检查有没有安装(HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX),如果安装过了,就直接退出。所以可以根据这一点来免疫。
接着检查是否安装了虚拟机(通过检查HKLM\Software\VMware,Inc.\VMware Tools值),如果安装了,则直接退出。这点主要是防范系统调试人员,如果在虚拟机上安装,就退出。看来paoxue的作者真是用心良苦啊! 不过我一向都不使用虚拟机,呵呵。
它没有采用BHO这种流氓也容易被杀的方式,通过随机生成一个驱动,安装驱动到(%system%\system32\drivers目录下。我安装的过程生成的eugnxqcx.sys和wllcnlke.sys。

驱动加载后,通过生成两个线程附加到system这个系统核心进程上,获取最高权限。
通过Process Explorer可以查看到这两个线程:

这两个线程一直不住地检查注册表HKLM\SYSTEM\CurrentControlSet\Services\)下自己这个驱动的值,如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉,会提示没有权限。另外用冰刃(IceSword 点击下载IceSword.exe)这个工具也可以看到,但是杀不掉。。。

看来它的驱动保护做的还是不错的,难以杀掉的原因是对文件以及进程都做了保护。

因为驱动是属于Boot Bus Extender组的,在操作系统加载时就会被加载,所以即使安全模式下也会加载,所以到安全模式下删除也是无效的。

看得出来飘雪为了防范目前的杀流氓软件工具,下了不少的工夫,已经试验过的多种工具无效:
IceSword删除驱动文件无效,Procexp,IS中止进程无效,金山文件粉碎器删除文件无效(而这几个是我前不久在试不爽的)

不过魔高一尺,道高一丈,知道了原理和过程之后,离解决也不会太远,,下面介绍一下杀它的办法(亲自试验,不需要重启,力求简单,菜鸟也可以操作)

三、清除办法:

1、找出驱动来
首先运行autoruns(点击下载Autoruns.exe),在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)”和“Hide Signed Microsoft Entries(隐藏已签名的微软项)”,把这两项都选中了。扫描之后,我们只看驱动(driver)这一项:

可以看出来,它是假冒微软的驱动。这个驱动虽然写明是微软的,但是没有经过微软的数字签名,所以肯定是假的。(可能你的机器上显示特别多,但所有非微软的,都是有问题的),因为是随机生成的文件名,所以你那里找出来的,可能跟我的不一样。请自己记下文件名。特征是8位随机的字母,并且公司是微软公司,但是显示(Not verified),如果你这里不能确认,可以用下面的办法。

2、用procexp找出驱动名来
运行procexp,(点击下载ProcessExplorer.exe),找到system这个进程,然后点右键——属性(Properties)——线程(Threads),然后把下面的框子拉到最后,看有连续两个,比较无规则的八个字母的驱动,再跟autoruns对一下就可以确定是哪个驱动了。(见第一张图)

3、删除文件
因为文件有驱动保护,这里虽然找到线程的名字,但是无论是Procexp还是IceSword都无法中止这个线程(如果你有好的办法,麻烦告诉我一下,谢谢)。另外本人写的文章里面的关于删除顽固文件的,对付这种有意防范的,也是无效的。经过亲自试验,目前有两个办法可以删除这个文件:

方法一:用Unlocker(点击下载Unlocker.exe
找到c:\windows\system32\drivers目录下,找到刚才的那个驱动文件,点右键——Unlocker,然后在出来的对话框中,也会显示有一个sytem进程占用了,点那个“Unlock“。然后再在文件上Unlocker一下,这时显示已经没有其它进程在使用这个文件,用它的Delete功能,点确定便可。这样文件便删除了。

方法二:还是用Procexp

在Procexp中,先按Ctrl+H,切换到Handler视图,然后按Ctrl+F,查找,输入刚才的驱动名字(可以只输入前几个字母),然后就可以看到在system这个进程中有一个文件,在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件,删除便可。

我相信如果paoxue的作者看到这篇文章,可能会做一些升级或者改变,使上面的方法无效(因为它明显已经针对IceSword这几个出名的软件做了防范),但是万变不离其宗,如果那个时候,就先用autoruns/procexp找到相关的驱动文件,然后安装一个虚拟软驱,到DOS下去删除这个文件,那个是最后终极的办法。

我写这篇文章,主要针对一些新手,所以尽量不要重启以及做复杂的操作。

删除上面的.sys文件之后,为了安全起见,重启一下,然后再重新设一下IE的主页,应该就可以了。至于那个Seriver的值,删不删都无所谓了。

四、其它
针对飘雪的免疫办法:
在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一个SearchPlugInX的DWORD值,然后任意输入一个值,这样飘雪就不会再安装了。

如果上面的方法无效,请与我联系,可能会有升级的版本。但是以上介绍的所有办法,在我的文章都已经提到了。流氓软件横行年代,自己都得学会一点保身之术。

转自:网络安全日志

本原创文章未经允许不得转载 | 当前页面:╃苍狼山庄╃ » 飘雪(piaoxue/feixue)的详细分析以及手工清除办法

评论

文章评论已关闭!