Board logo

标题: (已解决)诡异可疑XXXX.SYS,貌似过微点 [打印本页]
作者: sbgg110     时间: 2008-9-30 20:46    标题: (已解决)诡异可疑XXXX.SYS,貌似过微点

不多客套了,老微点预升级用户,非小白。不过也非专业人士。

终于完美解决了,
感谢微点客服和热心网友的帮助,
让我学到很多。

28日上线ADSL拨号发现突然小卡了下,且有几次重启后找不到已设置过的宽带拨号程序了。网络连接里只剩下本地连接。
(我用设置了固定IP应该不会卡一下或出现假死,而且即使假死几十秒也应该是开机后而不是拨号前。)
没在意,,,,
当晚使用火狐几乎每10分钟就报错
玩COD4发现帧数严重降低。
ADSL拨号和下线的时候都有假死现象
下线时候尤其有10秒左右、
这才意识到可能中标了

找来找去 发现一个问题

进程信息SYSTEM里出现一个可疑类似病毒
C:\WINDOWS\SYSTEM32\DRIVERS\SPAN.SYS
但是在系统自启动区根本找不到这个可疑类驱动

打算用冰刃干掉它 ,重启,安全模式,打开冰刃无法找到这个文件
打开微点 进进程信息SYSTEM里突然SPAN.SYS消失了
取而代之的是一个叫SQKZ.SYS的
我想也没关系 总之先干掉他再说 没想到点到SYSTEM里的这个SQKZ。SYS模块
点右键查找目标 发现C:\WINDOWS\SYSTEM32\DRIVERS\下根本没这个文件
我确定已经打开显示所有隐藏文件了,且其他SYS及DLL均可显示,暂时排除了
病毒为隐藏文件一说。

几次重启后 摸到一个规律
该可疑模块 始终在SYSTEM里 但是是以SP开头的4位随机字母搭配的以.SYS为结尾


恐惧不已 从没见过这么厉害的东西
关键是上报都不可以 根本找不到文件 怎么上报啊 。


样本平台 XP SP2 补丁全 深度完整版


微点主动防御软件  预升级
程序版本: 1.2.10576.0043
特征版本: 1.6.868.080930
更新时间: 2008-09-30 15:06:56
一会上图~

[ Last edited by sbgg110 on 2008-10-4 at 11:38 ]
附件 1: 20080930205025890.jpg (2008-9-30 20:48, 48.72 K,下载次数: 82)


附件 2: 20080930205413625.jpg (2008-9-30 21:01, 43.05 K,下载次数: 34)


附件 3: 20080930210329109.jpg (2008-9-30 21:01, 36.68 K,下载次数: 74)


作者: Unknown_YSHSA     时间: 2008-9-30 21:16
从图标上面看的话好像这个sys已经不存在了啊
你能不能找到这个sys文件呢
或者是驱动保护了该sys文件呢
要是能找到的话上传到微点了去分析看看
顺便把那个IRSIR.SYS上传好了
还有微点信息啊什么的 只能是说可能是这个sys的问题
让微点整体地看下你的进程和模块
分析之后才能得出结果啊
作者: sbgg110     时间: 2008-9-30 21:31
1肯定是存在的、只是肯定在内存里而且是随机命名释放的
2SYS后缀就是驱动的意思,没有什么被驱动保护一说。就是因为找不到这个SYS文件 不然我就上报了呀
3 IRSIR.SYS是红外串口驱动吧?而且有版本号有描述有厂家我看着还满靠谱的
4 问题在于随机命名的SYS文件,而且每次重启都变名
肯定有鬼啊 怀疑是子母病毒
开始怀疑是虚拟光驱 卸载了 还是一样~

和微点技术支持联系上了 上报了IRSIR.SYS先

冰刃调查进程模块
发现更诡异
这个4位数字母的SYS 是最后一个加载的
而且无任何信息 更加确定是个坏东西


启动冰刃后
又多出一个无法找到但是在内存里的SYS
命名ISDRV122.SYS,不过已经确定该文件是冰刃释放的,虚惊一场
貌似无公害
看图~

[ Last edited by sbgg110 on 2008-10-1 at 10:57 ]
附件 1: 20080930220129859.jpg (2008-9-30 22:02, 80.35 K,下载次数: 63)


附件 2: 20080930222819500.jpg (2008-9-30 22:27, 67.14 K,下载次数: 45)


作者: Unknown_YSHSA     时间: 2008-10-1 12:18
用Rootkit Unhooker 看看能不能把那几个sysDump下来啊
作者: sbgg110     时间: 2008-10-1 13:07
感谢楼上指点
有进展了
Rootkit Unhooker 使用后
本次重启后 SYS名字叫SPEJ.SYS
无法关闭 无法解锁

但是可以Dump (转储)
抓到一个1M的SYS文件
并且我截取了部分报告
显示无路径,我晕,居然还是无路径
而且有2个SPEJ和SPTD 地址一样大小一样~


Driver: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF7532000
Size: 61440 bytes

Driver: spej.sys
Address: 0xF7291000
Size: 1048576 bytes

Driver: sptd
Address: 0xF7291000
Size: 1048576 bytes

Driver: C:\WINDOWS\system32\DRIVERS\srv.sys
Address: 0xBA642000
Size: 335872 bytes

等等继续上报

[ Last edited by sbgg110 on 2008-10-1 at 13:15 ]
附件 1: 20081001131915343.jpg (2008-10-1 13:17, 29.43 K,下载次数: 69)


作者: sbgg110     时间: 2008-10-1 13:43
Process Explorer 也找到了该SYS
但是可悲的是无法结束该进程555
附件 1: 20081001134438093.jpg (2008-10-1 13:43, 112.42 K,下载次数: 75)


作者: 点饭的百度空间     时间: 2008-10-1 20:19
McAfee 诺顿有没有装过

Rootkit Unhooker新版 http://rapidshare.com/files/136965760/RkU3.8.341.552.rar.html

GMER 1.0.14.14536
http://www.gmer.net/

[ Last edited by 点饭的百度空间 on 2008-10-1 at 20:21 ]
作者: sbgg110     时间: 2008-10-1 21:12
还是无效~
作者: yurong7777777     时间: 2008-10-2 08:08
可怜的孩子,真可怜
作者: ouyang1993     时间: 2008-10-2 12:14
微点BZ没来?问他一下看看!
作者: sbgg110     时间: 2008-10-3 09:38
微点来信了 IRSIR.SYS的分析了,4位字随机的SYS也分析了
查了下 马的名字都起过了 怎么就还在我电脑里有莫名奇妙的驱动呢。


强啊,现在的病毒还有版本号厂商和介绍,当初以为是红外串口驱动
而且有版本号有描述有厂家。这个骗子。太厉害了。
跟真的一样

于是安全模式下删除IRSIR.SYS
粉碎了。可怕的事情出现了!!!!重启后IRSIR.SYS还在!!!!而且还有那个更可怕的SXXX.SYS 4位的驱动一起都在!!!并且乐不思蜀和微点共存。于是重启到安全模式,用假体替代法强行删除掉IRSIR.SYS。新建一个垃圾文件同名。写保护。重启,啊~IRSIR.SYS没了。但是可恶的SXXX.SYS还在。因为它会自己重启后改名字,假体替代拿他没办法咯。


终于暂时解决掉这个烦人的随机SYS了。

解决方案
一共有3个可疑样本
1号样本 irsir.sys 在SYSTEM驱动文件夹里
2号样本S开头四位字随机后缀SYS。不在硬盘任何地方 貌似只在内存里
3号样本SPTD.SYS 存在SYSTEM驱动文件夹里 安全模式下会提示其名
是否加载 并且和2号样本大小不一样

流程如下

irsir.sys安全模式下删除 新建一个垃圾文件 只读 然后命名irsir.sys

在进入安全模式前系统会提示是SPTD.SYS
记住名字后按ESC选择不加载
进入安全模式找到改名字的SYS用上面一样的假体替代法解决



现在重启后发现没了 我把这个SPTD.SYS打包上报吧

1号样本irsir.sys:Rootkit.Win32.Delf
(微点来信报马,机器上微点在STSTEM里加载后没报)
2号样本4位字.SYS:Rootkit.Win32.Agent.bsp
(下载解压样本,机器上微点灭掉它了,但是STSTEM里加载的没报)
3号SPTD.SYS上报了 等回信中。


我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!

吃过饭重启 又发现了该死的SPRT.SYS!!!
真要疯了 我不上魔兽世界了。

















尊敬的用户,您好!
    您的邮件已经收到,感谢您及时联系微点客户服务人员!希望下面的邮件内容能够使您得到您所需要的帮助:根据您描述的情况及提供的信息,我们的技术工程师做了详细的测试与分析。详情如下:

               
irsir.sys:Rootkit.Win32.Delf
            

注释:

PE文件:Win32环境下的可移植执行体。

已损坏的PE文件:经第三方程序修改或人为造成文件损坏。

非PE格式的病毒文件:泛指网页木马、脚本病毒、宏病毒、恶意代码等。

非病毒文件:不含有恶意代码的文件。

[ Last edited by sbgg110 on 2008-10-3 at 22:43 ]
作者: threeswords     时间: 2008-10-3 12:20
irsir.sys:按照MSDN上的说明,它是一个串口红外驱动程序。

sptd.sys:这是虚拟光驱软件daemon tools的一个驱动,其中sp是固定的,后2位名字一般是td,也可能是其他,即sp**.sys

当然不排除是病毒伪装

微点有时候分析结果会有问题,并不完全可信,有些不是病毒的程序,仍然给予命名,我已经碰到过几次了。

给楼主发个网址,楼主可以把你那几个驱动传上去扫描下
http://virscan.org/
作者: sbgg110     时间: 2008-10-3 12:23
忙了一个早上
结果走了弯路
我靠SPTD.SYS是虚拟光驱?
但是SPER SPWP SWKJ SPUW又是什么??
当这个S开头4位字随机的SYS又一次出现的时候
我彻底崩溃了。
楼上的谢谢,我等会就把三个样本上传过去检测



1号样本 微点报Rootkit.Win32.Delf
virscan.org如下
文件名称 :   irsir.sys
文件大小 :   18688 byte
文件类型 :   PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 :   0501f0b9ab08425f8c0eacbdcc04aa32
SHA1 :   f19a33cb053f909412f43f16d1ccb28fa8d48f25

只有飞塔报了Suspicious 其他全过了。


2号样本 微点报Rootkit.Win32.Agent.bsp
   这个样本就是我内存里的4位随机SYS 在硬盘上没见到 楼上的同学介绍转储工具弄下来的 并且在内存里的微点不报

文件名称 :   SPEJ.SYS
文件大小 :   1048576 byte
文件类型 :   PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 :   6afdc22465f7871a1b1c222606212da0
SHA1 :   167d8a3df2e58f76cddd81e96793b48ef6f0dcfe

Sunbelt 报VIPRE.Suspicious
飞塔 报Suspicious  其他全过了

3号样本 送交
文件名称 :   sptd.sys
文件大小 :   717296 byte
文件类型 :   PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 :   71e276f6d189413266ea22171806597b
SHA1 :   4e7e09fbbdae0ed76f11a8baf8f269508a9600a3
飞塔 Suspicious 其他全过了

[ Last edited by sbgg110 on 2008-10-3 at 13:21 ]
作者: Unknown_YSHSA     时间: 2008-10-3 14:01
真想拿着那个样本看看 可惜驱动还没有学好 哎...
作者: threeswords     时间: 2008-10-3 17:24
从楼主的扫描结果来看,这几个驱动应该是正常文件
sptd.sys是daemon tools的驱动
sp**.sys也是,只是你删除了sptd.sys以后,它会换个名字再生成个驱动
给楼主一个链接去看看
http://news.newhua.com/news1/saf ... 199HHI1DB8FJ05.html

至于楼主碰到的问题到底是什么引起的,还不好说,楼主可以下载个360安全卫士,或者金山清理专家清理下,不行的话可以试着用winsock fix修复下,这个软件百度里到处是就不给下载地址了
作者: Unknown_YSHSA     时间: 2008-10-3 17:27
样本 光是文件名说明不了什么的 等你们的最终分析结果了 ...
作者: sbgg110     时间: 2008-10-3 17:53
谢谢15楼 ,大致理解了 很久前卸载了DT了
但是这个可恶的S开头的SYS还是在
罢了到此为止了 我也心力憔悴咯
作者: 独孤不平     时间: 2008-10-3 18:19    标题: 图片顺序配合序号顺序



  Quote:
Originally posted by sbgg110 at 2008-10-3 17:53:
谢谢15楼 ,大致理解了 很久前卸载了DT了
但是这个可恶的S开头的SYS还是在
罢了到此为止了 我也心力憔悴咯

就是这个问题,用以下方法就可以卸载,DT的卸载程序存在问题,要不就是故意不卸载干净,好多人都有过这类现象,具体还得DT官方.方法如下:
(1)下载RKU恢复SSDT
(2)下载微软工具Handle.exe根据如图命令得到sptd.sys句柄
(3)执行如图命令关闭句柄
(4)到此保护已经全部失效,删除文件
(5)重启计算机,运行RKU观察驱动未加载.

[ Last edited by 独孤不平 on 2008-10-3 at 18:21 ]
附件 1: `1.JPG (2008-10-3 18:19, 166.67 K,下载次数: 30)


附件 2: 2.JPG (2008-10-3 18:20, 137.05 K,下载次数: 43)


附件 3: 3.JPG (2008-10-3 18:20, 103.5 K,下载次数: 34)


附件 4: 4.JPG (2008-10-3 18:20, 117.37 K,下载次数: 27)


附件 5: 5.JPG (2008-10-3 18:21, 181.4 K,下载次数: 44)


作者: sbgg110     时间: 2008-10-3 22:36
微点社区藏龙卧虎
扫地僧一大把
服了!
作者: sbgg110     时间: 2008-10-3 22:48
谢18楼。


重启后等5分钟拨号,(ADSL拨号是有开机假死几分钟,为了错开这个正常情况)
仍旧拨号大卡20秒
并且断线的时候也卡20秒+
无限囧~~~~~

查了有关资料 删除本地连接里的IPV6协议
OK

[ Last edited by sbgg110 on 2008-10-4 at 09:31 ]
作者: 独孤不平     时间: 2008-10-4 20:56    标题: 念奴娇.与毒共舞

蜜蜂飞去,花开尽,千古风流病毒。
叱诧中国,毒道是,起初冲击震荡。
贯穿全球,横扫网络,开机必重启。
感叹当年,难倒一片杀软。
析听雅虎当年,流氓流行了,开宗立派。
张扬跋扈,两载后、落得英明丧尽。
回眸一笑,是非是人说,笱于遮掩。
中毒如梦,中国混乱网络。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn