灰鴿子遠程控制軟件

標題: JEECMS上傳bug 追殺sfc008木馬灰鴿子官網論壇www.dumiaotech.com [打印本頁]

作者: admin 時間: 2013-1-1 19:47
標題: JEECMS上傳bug 追殺sfc008木馬灰鴿子官網論壇www.dumiaotech.com
JEECMS上傳bug 追殺sfc008木馬灰鴿子官網論壇www.dumiaotech.com
下了個飛秋等幾個小軟件，沒想竟然中毒了。

一、病毒特征
這個漏洞很簡單，上傳沒有過濾，注冊賬號之后去上傳頭像，jsp 都可以，會提示上傳類型錯誤，彈出對話框，不用管它，關閉彈窗，點擊右鍵查看源代碼，你的代碼已經上傳上了。

上傳后的格式為：
http://www.xxxx.com /online/upload/M0000002012070500007/1349769169860.jsp?o=vLogin

1、機器變得非常的慢，IE網頁首頁被自動定位到一個sfc網站：灰鴿子下載

http://www.xxx008.com/?ie98-WZ

（編者注：如果是這個網站利用木馬病毒做宣傳，真實卑鄙之極，人人得而誅之）

2、同時桌面上出現了幾個IE超級鏈接，如“淘寶購物”、“好看電影”,"Internet Explorer"等5個。直接刪除刪除不掉。

3、同時在c:\windows\system32下產生兩個文件夾，文件夾名不規則：qfdpiaebbu，todqcgshvk，內各放一explore.exe和smss.exe木馬文件。

c:\EEQQ，包含兩個病毒文件：EEQ.exe，QQE.exe。

4、機器上的文件夾被隱藏，同時創建與該文件夾同一名稱的木馬文件，該木馬文件圖標為文件夾樣式，但不顯示擴展名，外觀上和原有被冒充的文件夾一模一樣。但若點擊該木馬文件則病毒文件得以運行，其巧妙之處除了偷梁換柱之外，點病毒文件亦能打開對應文件夾，不仔細看很容易被迷惑住。例如：

原有X目錄：

文件夾A、文件夾B

病毒做手腳后，X目錄文件分布：

文件夾A、文件夾B                      注：設置隱藏屬性，若文件夾選項設置為不顯示隱藏文件，則該原文件夾不可見。

文件夾A.exe、文件夾B.exe       注：產生與原有文件夾同名稱的木馬病毒文件，但可執行文件的擴展名被隱藏。

5、病毒文件大小為86557。

6、資源管理器搜索功能被屏蔽，點搜索，搜索面板一片空白，真叫人欲哭無淚。

二、手工清除辦法

1、使用ICESWORD 等殺毒工具，在進程中殺掉c:\windows\system32\qfdpiaebbu\explore.exe，c:\windows\system32\todqcgshvk\smss.exe進程；接著清除c:\windows\system32\qfdpiaebbu\explore.exe，c:\windows\system32\todqcgshvk\smss.exe文件，c:\EEQQ目錄。

2、讓exe文件的擴展名總是顯示，方法如下：

打開注冊表編輯器，在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe)，選中exefile，在右邊窗口空白處點右鍵，選擇“新建→字符串值”，設置名稱為AlwaysShowExt，然后重啟explorer即可。反之，如果設置名稱為NeverShowExt，就可以讓exe文件擴展名從不顯示。

3、刪除木馬自啟動設置：

1) 刪除注冊表中的自啟動項：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，木馬設置了機器重啟動后對各種殺毒軟件的剿殺；

2)開始菜單-》啟動內的鏈接

以上操作均使用ICESWORD工具進行

4、使用工具剿殺假冒病毒文件。病毒特征為可執行文件，大小為86557，利用該特征可以做一小程序掃描系統中所有的文件夾，找到病毒文件后執行刪除。一般程序員均可以自己試試，編寫一個掃描、查殺工具。先遍歷文件夾，發現為可執行文件后，檢測大小是否為86557，若是則刪除，然后遞歸執行。

這里附一個用Perl腳本寫的查殺工具，可修改查殺路徑：變量$path1

use File::stat;



print "Scan starting ...\n";



my $path1="L:\\";

deleteit($path1,"*");





sub deleteit{

  my $path = $_[0];

  my $ext = $_[1];

  chdir($path);

  if(my @name=glob("$ext")){

#print "test is ok!find ".@name."Files.\n";

my $item;

foreach $item(@name){

   $_ = $item;

   if(-d $item){

      print ">>>$path\\$item\\\n";

      &deleteit("$path\\$item\\","$ext");

      chdir($path); #The most key line, recover the old work directory

   } elsif(-x $item){

      my $fileinfo = stat($item);

      my $size = $fileinfo->size;

      print $size;

      if($size == 86557){

            print $item,"<executable>?\n";

            system("del -f \"$item\"");

         }

   }



}

  }



}

use File::stat;

print "Scan starting ...\n";

灰鴿子使用教程

my $path1="L:\\";

deleteit($path1,"*");

sub deleteit{

  my $path = $_[0];

  my $ext = $_[1];

  chdir($path);

  if(my @name=glob("$ext")){

#print "test is ok!find ".@name."Files.\n";

my $item;

foreach $item(@name){

$_ = $item;

if(-d $item){

   print ">>>$path\\$item\\\n";

   &deleteit("$path\\$item\\","$ext");

   chdir($path); #The most key line, recover the old work directory

} elsif(-x $item){

   my $fileinfo = stat($item);

   my $size = $fileinfo->size;

   print $size;

   if($size == 86557){

      print $item,"<executable>?\n";

      system("del -f \"$item\"");

      }

}

}

  }

}

Perl運行環境下載地址：http://downloads.activestate.com/ActivePerl/releases/

5、資源管理器搜索功能恢復

在開始-》運行中執行 regsvr32  jscript.dll，然后殺掉explore.exe進程，重新啟動C:\WINDOWS\explore.exe進程即可。

6、桌面圖標的清除

使用ICESWORED工具清除，找到C:\Documents and Settings\All Users\桌面和C:\Documents and Settings\<當前用戶名>\桌面目錄，清理病毒連接。

在管理模板》控制面板》顯示》隱藏“桌面”選中項卡，點自定義桌面按鈕-》桌面項目面板-》常規-》點現在清理桌面按鈕，然后在要清理的項目名稱前打勾，不需要清理的去掉勾，按向導提示完成即可。

歡迎光臨灰鴿子遠程控制軟件 (http://www.dumiaotech.com/)