|
|
木马名称:TrojanDownloader/Win32.Agent.OQW,被这个东西折磨了一下午才弄好(还不一定,不过现在系统平静多了:cpu、内存占有率正常了,但现在还不敢大意,不敢运行exe文件)。
一直都是裸奔上网,因为我喜欢低cpu、低内存占有率,平常只上点正经网站,在病毒如林的网络世界里,只能洁身自爱了。但有时候还是要下载工具,估计问题就出在这里了。昨晚在摸索一个工具,玩着玩着,觉得有点不正常。一向速度刷刷地快的老机子,怎么卡卡地?赶紧扔掉工具,ctrl、alt、del调出任务管理器看,不对,内存占有咋这高哩?cpu也像我们的GDP一样居高不下。我把里面几个进程所用内存全都加起来也不过200M,咋成了800M,出事了。。此时天色已晚,只好关机睡觉。
今天晌午时分起床开机,我的妈,老半天才看到桌面,但一闪,桌面图标全没了,只剩个鼠标孤零零地空白的桌面上形影相吊。ctrl、alt、del看看咋回事,可键盘使劲按都没反应,这才知道来着不善。系统不好使了,只好reset后用PE启动进去,转移下重要文件,在PE里上网求助,无果。只好ghost恢复。
系统重装了,也好,落得一身清净,一切都从头再来吧。C盘现在干净清爽滴很,这次装了之后再坚持几年应该没问题。装好后,运行了PPS网络电视,这个软件被恢复在D盘,这下又出事了!情况如前所述,又卡机了,这时上网下载360,想亡羊补牢,但为时已晚,因为运行它时,它自己都中招了。重启,我的天,又是进不了桌面,不到10分钟,我又要重装,我的硬盘啊。无奈,ghost恢复,装完后,啥都不干,啥也不看,立刻装360,糟了!因为之前下的360放在D盘,已经是个不干净的360。无奈,不到1分钟,我又要重装系统。这次装完后,立刻上网下载360放在干净的C盘里,装上它,通过它打满系统补丁,修复所有漏洞(都是360指出的)。然后用它的木马查杀(杀之前更新了最新木马库,几十M)查杀,好多个usp10.dll,统统干掉(提醒下手工杀毒爱好者,在system32里以及它里面文件夹里有两个usp10.dll是不能杀的,就它两是好人)。
该病毒真有立竿见影的效果,病来如山倒,病去如抽丝。
下面再贴一个高手分析这个病毒的原理文章:
很多应用程序加载时,会加载usp10.dll,因为它本身需要这个DLL里的函数(可能)。
system32目录里的usp10.dll, 是系统自身的DLL,病毒就是劫持了这个DLL。写一个同名的DLL文件放在exe程序的同一目录下,当系统装载这个程序时,而这个程序又需要用到这个DLL时,系统就会先在本目录下查找这个DLL,并加载之。
前面我说过,我自己写一个usp10.dll,不能被加载,而那个病毒却可以被加载,这个问题令我费解了很久,现在终于有眉目:这个DLL,要与被劫持的DLL拥有相同的函数导出表!否则,系统不予加载,可能是这样。(相当于欺骗系统:我就是您老人家要找的那个DLL,您老人家不用回windows\system32下面翻箱倒柜找了,我近在眼前,就在该exe所在目录下)。
当然有了这个病毒,程序还是能运行,只是慢的多,那也就是说应用程序调用的函数功能是正常的,那么,在病毒DLL里是如何办到的呢?它只需把函数的调用最终转向正常的系统DLL里的函数调用即可。
只是简单的古老的DLL劫持,我开始竟然想不明白,唉,终于释怀……。
本贴被 zcllom 编辑过,最后修改时间:2009-01-30,18:55:08. |
阿莫论坛20周年了!感谢大家的支持与爱护!!
曾经有一段真挚的爱情摆在我的面前,我没有珍惜,现在想起来,还好我没有珍惜……
|
发表于 2009-1-30 18:47:32
楼主
