Board logo

标题: 微点应该监控驱动程序的行为(微点不能查杀 my123 病毒) [打印本页]
作者: wuming     时间: 2006-11-13 13:34    标题: 微点应该监控驱动程序的行为(微点不能查杀 my123 病毒)

11月10日发作的一个 my123 病毒,就是将病毒体以驱动程序的形式隐藏在系统中,我好几个朋友都中了这个。

目前 360safe 已经出了专杀工具:
http://bbs.360safe.com/viewthrea ... page%3d1&page=1

不过,这个专杀工具有些弱智,只对部分用户有效,对 my123 的变种无法查杀。

希望微点赶紧升级,查杀 my123,难得的宣传机会啊,因为目前所有杀毒软件都无法杀掉这个驱动级的病毒。

病毒样本没办法发了,给朋友修电脑,没带什么工具(平时只带 360safe + 微点 + McAfee),而普通拷贝又无法进行拷贝。

[ Last edited by wuming on 2006-11-14 at 13:17 ]
作者: wuming     时间: 2006-11-13 13:39
目前主页设置为 www.my123.com 的病毒,360safe 已经可以清理掉了。
不过,设置为 www.7939.com 的病毒,估计是个变种,看样子两者表现一模一样,在系统中的位置、文件命名规则、驱动名字都一样,至少这个 360safe 目前没办法清除。
别的变种不知道了,我就见了这两个,很是难处理。
作者: Legend     时间: 2006-11-13 14:01
谢谢楼主提供的信息;
请问您的朋友是怎么中的?是否登录网站时或下载安装了某些网络软件?
如果安装微点的话请把微点的系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn
作者: wuming     时间: 2006-11-13 14:26
他没有装微点。

这个病毒很绝的,很多人都是很早就感染了,直到 2006-11-10 才统一爆发。所以,至于怎么感染了,早就忘光了。我看到的病毒文件的创建日期,是 2006-8-5。

表现形式,就是主页被设置为 www.my123.com 或者 www.7939.com (不知道还有没有别的)。网上搜索这个问题,一大片中招的。解决办法,也无非是进入另一个系统下删掉,或者进入 dos 下加载 ntfsdos 删掉这个病毒文件。但是这些都不是普通用户能做到的。

你可以搜索一下这个 my123 病毒的资料,这的确是以驱动形式加载的,在注册表、系统服务、系统进程中都无法发现任何蛛丝马迹,希望微点能重视一下,如果能杀掉,就是很难得的宣传了。

希望微点不要错过大好机会。
作者: wuming     时间: 2006-11-13 14:28
还有一点,在 360safe 网站,看看这个帖子的关注度吧:

(置顶的第一帖)
http://bbs.360safe.com/forumdisplay.php?fid=18&page=1
my123.com恶意病毒专杀工具凌晨发布! 12日3时更新变种查杀!   1 2 3 4 5 6 .. 43  MJ0011
2006-11-12 842 / 61762
作者: sxh_sxh     时间: 2006-11-13 14:39
360 采用文件名作为其特征
作者: wuming     时间: 2006-11-14 11:41


  Quote:
Originally posted by sxh_sxh at 2006-11-13 14:39:
360 采用文件名作为其特征

绝对不是,病毒的名字是随机的。
虽然说,是 6 个字母 + 2 个数字,但是,符合这个条件的正常文件也许多呢。所以靠文件名判断行不通。

不管人家靠什么判断,反正微点目前无法查杀这个病毒。
作者: aidi     时间: 2006-11-14 11:52
如果已经在微点的注册表修复与保护里面设置主页的锁定与保护的话,这个病毒也就没有什么意义了;
对于这类修改hosts文件及修改默认主页的行为应该是那些优化软件的处理;
微点提供了全方面的监控,既然微点已经是驱动级的杀软,相信也一定能够监控到驱动级的启动程序,只是单一的修改ie主页这一行为并不能够做为完全判定为病毒的条件;
如果开着微点的话完全可以利用微点的监控日志找到这个病毒的来源,再手工清理掉,对于驱动的文件不让删除可以参考利用批处理文件在dos下执行清理
作者: Legend     时间: 2006-11-14 12:20
微点具有驱动程序监控
作者: aidi     时间: 2006-11-14 12:23
简要分析及处理方法:
      微点有注册表监控信息记录日志,在里面可以看到修改注册表键值的时间、原数据、新数据及创建者;
      已经知道这个程序是去修改ie主页为 www.my123.com,可以按照新数据找到这个名称对应的创建者,也就是真正去修改主页的程序文件,如楼主所说的 6 个字母 + 2 个数字后缀为.dll;
      通过楼主提示的网址得知这个程序是被驱动保护的,驱动文件的名称是与这个程序文件相同且后缀为.sys;
      知道了原理再查找就很方便了,可以在C:\WINDOWS\system32\drivers\目录下搜索根据上面得知的文件名称;也可以利用微点的系统自启动信息,查看驱动启动的启动项。注意在这里查看的话发现这类程序的文件说明都是为其他软件,也就是说在不知道病毒原理的情况下,这些文件都是重点怀疑的对象,可以清晰地看到;
      找到病毒的原形后就是清除这些文件了,由于是驱动文件正常模式下可能不能删除,保险的方式需要到dos下清理删除找到的6 个字母 + 2 个数字的.dll与.sys文件,在注册表中搜索my123修改相应的注册表键值,大功告成。
      有些朋友不太熟悉dos可以在正常模式下建立一个批处理程序然后用98或dos启动盘进入dos双击执行就可以了;注册表的清理暂不提供,手工修改主页既可。
-------------------------------------------------------------------------------------------------------
@echo off
color 0A
prompt $g
echo.
echo.
echo.                        ※※※※※※※※※※※※※※※
echo.                        ※                            ※
echo.                        ※   龙虾门诊病毒专杀程序   ※
echo.                        ※        support by          ※
echo.                        ※        药童 小龙虾         ※
echo.                        ※                            ※
echo.                        ※※※※※※※※※※※※※※※
echo.
title 病毒专杀程序--by shazi 龙虾门诊病群解决您生活中遇到的电脑问题,群号:21929053
echo.
echo.                ∥∥∥        ├∝                ≡≡≡        ├∝                ∥∥∥        ├∝
echo.                ∑∑∑≥≥≯                ∑∑∑≥≥≯                ∑∑∑≥≥≯
echo.                ∥∥∥        ├∝                ∥∥∥        ├∝                ∥∥∥        ├∝
echo.
echo.
@echo  【程序说明】:此版本可以清楚my123.com被修改为默认主页故障
echo.
echo.
echo.
echo.
echo.
echo.
pause
cls
color 4F
color 0C
@echo off
echo 正在清理,请稍等......
del /f /s /q %systemdriver%\system32\cyofwj07.dll (注:此文件为在您系统上查找到的文件只需要更改下名称即可)
del /f /s /q %systemdriver%\system32\drivers\cyofwj07.sys(注:此文件为在您系统上查找到的文件只需要更改下名称即可)
echo 清理my123.com完成
echo. & pause
echo.
echo.
echo.
color 0A
echo.
echo.                        ※※※※※※※※※※※※※※※
echo.                        ※                            ※
echo.                        ※   龙虾门诊程序清理完毕   ※
echo.                        ※        已清理完毕          ※
echo.                        ※                            ※
echo.                        ※※※※※※※※※※※※※※※
echo.
@echo                                 龙虾PC门诊群
echo.                                 群号:21929053
echo.                         aidi (C) Copyright 2006 by 000
echo.  如果没能自动退出 请手工关闭本窗口。
echo.
echo.
pause
echo.
作者: wuming     时间: 2006-11-14 13:08


  Quote:
Originally posted by Legend at 2006-11-14 12:20:
微点具有驱动程序监控

在感染 my123 的电脑上安装微点,根本查不出来这个病毒。是不是这个病毒的行为还不够狠?频繁修改注册表,还不算恶意行为啊?
作者: wuming     时间: 2006-11-14 13:11


  Quote:
Originally posted by aidi at 2006-11-14 11:52:
如果已经在微点的注册表修复与保护里面设置主页的锁定与保护的话,这个病毒也就没有什么意义了;
对于这类修改hosts文件及修改默认主页的行为应该是那些优化软件的处理;
微点提供了全方面的监控,既然微点已经是驱动级的杀软,相信也一定能够监控到驱动级的启动程序,只是单一的修改ie主页这一行为并不能够做为完全判定为病毒的条件;
如果开着微点的话完全可以利用微点的监控日志找到这个病毒的来源,再手工清理掉,对于驱动的文件不让删除可以参考利用批处理文件在dos下执行清理

1. 是发现感染后,再安装的微点,所以锁定注册表没有意义。
2. 这个病毒不修改 hosts。
3. 每秒钟修改好几次 ie 主页,还不算病毒啊?只要你把首页改为别的,病毒立刻将其恢复成病毒主页。
4. 装了杀毒软件,还要求用户手工清理?甚至还让用户自己制作批处理进入 dos 清理?那还装微点做什么呢。
作者: Legend     时间: 2006-11-14 13:13
请把微点的系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn
作者: wuming     时间: 2006-11-14 13:17


  Quote:
Originally posted by aidi at 2006-11-14 12:23:
简要分析及处理方法:
……
      找到病毒的原形后就是清除这些文件了,由于是驱动文件正常模式下可能不能删除,保险的方式需要到dos下清理删除找到的6 个字母 + 2 个数字的.dll与.sys文件,在注册表中搜索my123修改相应的注册表键值,大功告成。
      有些朋友不太熟悉dos可以在正常模式下建立一个批处理程序然后用98或dos启动盘进入dos双击执行就可以了;注册表的清理暂不提供,手工修改主页既可。
……

病毒源好找,但是对于普通用户怎么清理?
dos 下面怎么双击呢。。。
而且,即便这么删掉了相关文件,那么开机就会报告一大堆驱动相关错误。
这个病毒的 .sys 和 .dll 好几个,我见过,他们大小都一样,只删掉一个是不够的。
作者: aidi     时间: 2006-11-14 13:20
1.这只是个假设,你没有保护已经被该了主页,就不应该再去说那个保护的软件有问题;
2.我只是说的这类,并不是指你说的的那个“病毒”;
3.每秒钟修改n次注册表的就是病毒吗?你可以看下安装木马杀客的机子上注册表的变更日志,木马杀客本身的程序都是在时时修改着注册表;
4.杀毒软件没有万能的,谁也不能保证%100的安全,但重要的是处理措施,发现了问题就要学会自己解决,用户完全自己解决是不可能的,也没有那么多精力但对突发事件还是要自己寻求办法的。
作者: aidi     时间: 2006-11-14 13:28


  Quote:
Originally posted by wuming at 2006-11-14 01:17 PM:


病毒源好找,但是对于普通用户怎么清理?
dos 下面怎么双击呢。。。
而且,即便这么删掉了相关文件,那么开机就会报告一大堆驱动相关错误。
这个病毒的 .sys 和 .dll 好几个,我见过,他们大小都一样,只删 ...

抱歉,输入错误;但懂得进dos的人应该都知道如果运行一个bat文件,这个就不用过多说明了;
关于报告驱动相关错误是因为没有清理注册表的驱动启动相关键值,清理了自然就不会再报了,怪我没有写清楚;
我没有中过这个修改主页的恶意程序,不知你是怎么中的,所以具体几个文件不清楚,但从你给的链接上看文件只有2个一个dll一个sys。要是还有其他只能说明那个360的版主没有分析清楚。


ps:如果你自己知道怎么中的,可以发给官方,相信他们肯定会有更好的分析能力。
作者: wuming     时间: 2006-11-14 13:34


  Quote:
Originally posted by Legend at 2006-11-14 13:13:
请把微点的系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn

我是帮朋友解决问题,遇到的这个病毒,他没有装微点,我临时装的微点,发现杀不掉这个病毒。
所以,也就没有什么日志可言了。

修改为 www.my123.com 的可以用 360safe 清理掉,我去 360safe 网站看,发现很多变种还无法清理,装上微点也没能解决问题。在 360safe 的浏览用户现在已经达到了 11 万多,回帖也有 1200 人,空前火爆啊。估计是第一个披着驱动外衣的病毒。所以提醒一下微点而已。
作者: wuming     时间: 2006-11-14 13:42


  Quote:
Originally posted by aidi at 2006-11-14 13:28:
抱歉,输入错误;但懂得进dos的人应该都知道如果运行一个bat文件,这个就不用过多说明了;
关于报告驱动相关错误是因为没有清理注册表的驱动启动相关键值,清理了自然就不会再报了,怪我没有写清楚;
我没有中过这个修改主页的恶意程序,不知你是怎么中的,所以具体几个文件不清楚,但从你给的链接上看文件只有2个一个dll一个sys。要是还有其他只能说明那个360的版主没有分析清楚。


ps:如果你自己知道怎么中的,可以发给官方,相信他们肯定会有更好的分析能力。

这个病毒变种很多,360safe 只能杀其中一个。我见到的,有 6 个 dll 和 3 个 sys,且在 windows 下多次删除其键值会造成 CPU 100% 被占用,无法继续。

病毒很狡猾,通过创建日期,可以看到很早就被感染了,但是直道 11 月 10 日才发作。所以,也不晓得怎么中的。而且,病毒还锁定了相关病毒文件,在 windows 下无法拷贝,让许多用户无法提取病毒样本。还有就是,进入 www.my123.com 竟然没有发现恶意程序,想找一个样本都难。

而且,我遇到的情况,病毒在 ntfs 格式磁盘上,根本不能进入 dos 下删除,加载 ntfsdos 也不行。还有,即便进入安全模式,病毒也会随着启动。无奈,格了重装了。
作者: aidi     时间: 2006-11-14 13:43
附驱动启动存在的注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
@echo 开始修复注册表内容......
reg delete "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\cyofwj07" " /v ""(注:此文件为在您系统上查找到的文件只需要更改下名称即可)
echo.
pause
echo.
echo.

呵呵,大概是这样吧,我的水平有限。
作者: wuming     时间: 2006-11-14 14:10
嗯,的确是这样删掉驱动,但是只要重新启动电脑,这些又会自动恢复的。
不知道是不是我的 ntfsdos 版本低,运行后仍然不能访问 winxp 的 ntfs 分区。dos 下就没办法删除了。
作者: aidi     时间: 2006-11-14 14:14


  Quote:
Originally posted by wuming at 2006-11-14 01:42 PM:


这个病毒变种很多,360safe 只能杀其中一个。我见到的,有 6 个 dll 和 3 个 sys,且在 windows 下多次删除其键值会造成 CPU 100% 被占用,无法继续。

病毒很狡猾,通过创建日期,可以看到很早就被感染了, ...

说是变种应该都是相同的文件吧,只是创建的文件名称是随机的;
困难的地方应该就是不知道怎么才能找到这个“病毒”的来源,也就是怎么中的;
ntfs分区现在的ntfs for dos应该还是可以进入的,也可以参考用下Unlocker
找到c:\windows\system32\drivers目录下,找到刚才的那个驱动文件,点右键——Unlocker,然后在出来的对话框中,也会显示有一个sytem进程占用了,点那个“Unlock“。然后再在文件上Unlocker一下,这时显示已经没有其它进程在使用这个文件,用它的Delete功能,点确定便可。
作者: wuming     时间: 2006-11-15 00:19


  Quote:
Originally posted by aidi at 2006-11-14 14:14:


说是变种应该都是相同的文件吧,只是创建的文件名称是随机的;
困难的地方应该就是不知道怎么才能找到这个“病毒”的来源,也就是怎么中的;
ntfs分区现在的ntfs for dos应该还是可以进入的,也可以参考用下Unlocker
找到c:\windows\system32\drivers目录下,找到刚才的那个驱动文件,点右键——Unlocker,然后在出来的对话框中,也会显示有一个sytem进程占用了,点那个“Unlock“。然后再在文件上Unlocker一下,这时显示已经没有其它进程在使用这个文件,用它的Delete功能,点确定便可。

“变种”通常是重新编译过的、特征码不同的病毒。通常杀毒软件,靠特征码扫描病毒,无法对付变种。所以,如果文件相同,不算变种。

unlocker 没试过,不过进程里面是没有驱动程序的。
作者: zqrsc     时间: 2006-11-15 11:21


  Quote:
Originally posted by wuming at 2006-11-14 02:10 PM:
嗯,的确是这样删掉驱动,但是只要重新启动电脑,这些又会自动恢复的。
不知道是不是我的 ntfsdos 版本低,运行后仍然不能访问 winxp 的 ntfs 分区。dos 下就没办法删除了。

您可以尝试下用PE系统来引导。然后直接删除该驱动。
相信官方会重视您的建议。谢谢。
作者: aidi     时间: 2006-11-16 09:32


  Quote:
Originally posted by wuming at 2006-11-15 12:19 AM:


“变种”通常是重新编译过的、特征码不同的病毒。通常杀毒软件,靠特征码扫描病毒,无法对付变种。所以,如果文件相同,不算变种。

unlocker 没试过,不过进程里面是没有驱动程序的。

"360 采用文件名作为其特征 "
大概被这句话误导了,“变种”的那些代码最终效果应该还是相同的,只是代码的组合形式不同,所以比对其特征来就不同了;启发式应该还是可以做到的,毕竟它比纯特征值比对先进了一步,但行为还是不变的,行为判断还是有效的,只是这种行为还不算做病毒之列,只能说是恶意程序;
任务管理器中的进程当然不会显示驱动程序,可以参考下冰刃。
作者: wuming     时间: 2006-11-17 11:40
我觉得,恶意程序和病毒的区别,就是:
恶意程序是个“程序”,而病毒不是大家认可的程序。比如,3721 就是个恶意程序,因为有产品的实体,可以称得上程序。而这个 my123 就不同了,连个名字都无法确定,都是谁发现谁命名,这就只能归为病毒了。

另外,即便是恶意程序,也应该清理掉啊,因为有恶意行为了。每秒钟多次写入 StartPage 键值,正常程序没有这么做的,已经是恶意行为了。
作者: Legend     时间: 2006-11-17 11:42
经测试微点可以拦截您所说的这个程序;
如果您发现没有拦截可以发到virus@micropoint.com.cn
作者: wuming     时间: 2006-11-17 18:07


  Quote:
Originally posted by Legend at 2006-11-17 11:42:
经测试微点可以拦截您所说的这个程序;
如果您发现没有拦截可以发到virus@micropoint.com.cn

新加入的功能么?我前一阵子装微点的确杀不到,已经格系统了。
只要可以杀就行啦。
作者: wuming     时间: 2006-11-19 19:39
不好意思,这次冤枉微点了,那个 my123 和 7939 不是一个病毒,今天我遇到了。我发了新帖子:
http://bbs.micropoint.com.cn/showthread.asp?tid=4077&fpage=1



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn