JEECMS上傳bug 追殺sfc008木馬 灰鴿子官網論壇www.dumiaotech.com

admin

JEECMS上傳bug 追殺sfc008木馬 灰鴿子官網論壇www.dumiaotech.com
下了個飛秋等幾個小軟件，沒想竟然中毒了。


一、病毒特征
這個漏洞很簡單，上傳沒有過濾，注冊賬號之后去上傳頭像，jsp 都可以，會提示上傳類型錯誤，彈出對話框，不用管它，關閉彈窗，點擊右鍵查看源代碼，你的代碼已經上傳上了。

上傳后的格式為：
http://www.xxxx.com /online/upload/M0000002012070500007/1349769169860.jsp?o=vLogin


1、機器變得非常的慢，IE網頁首頁被自動定位到一個sfc網站：灰鴿子下載


http://www.xxx008.com/?ie98-WZ



（編者注：如果是這個網站利用木馬病毒做宣傳，真實卑鄙之極，人人得而誅之）



2、同時桌面上出現了幾個IE超級鏈接，如“淘寶購物”、“好看電影”,"Internet Explorer"等5個。直接刪除刪除不掉。



3、同時在c:\windows\system32下產生兩個文件夾，文件夾名不規則：qfdpiaebbu，todqcgshvk，內各放一explore.exe和smss.exe木馬文件。



c:\EEQQ，包含兩個病毒文件：EEQ.exe，QQE.exe。





4、機器上的文件夾被隱藏，同時創建與該文件夾同一名稱的木馬文件，該木馬文件圖標為文件夾樣式，但不顯示擴展名，外觀上和原有被冒充的文件夾一模一樣。但若點擊該木馬文件則病毒文件得以運行，其巧妙之處除了偷梁換柱之外，點病毒文件亦能打開對應文件夾，不仔細看很容易被迷惑住。例如：



原有X目錄：



文件夾A、文件夾B



病毒做手腳后，X目錄文件分布：



文件夾A、文件夾B                         注：設置隱藏屬性，若文件夾選項設置為不顯示隱藏文件，則該原文件夾不可見。



文件夾A.exe、文件夾B.exe          注：產生與原有文件夾同名稱的木馬病毒文件，但可執行文件的擴展名被隱藏。



5、病毒文件大小為86557。



6、資源管理器搜索功能被屏蔽，點搜索，搜索面板一片空白，真叫人欲哭無淚。





二、手工清除辦法



1、使用ICESWORD 等殺毒工具，在進程中殺掉c:\windows\system32\qfdpiaebbu\explore.exe，c:\windows\system32\todqcgshvk\smss.exe進程；接著清除c:\windows\system32\qfdpiaebbu\explore.exe，c:\windows\system32\todqcgshvk\smss.exe文件，c:\EEQQ目錄。



2、讓exe文件的擴展名總是顯示，方法如下：



打開 注冊表編輯器，在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe)，選中exefile，在右邊窗口空白處點右鍵，選擇“新建→字符串值”，設置名稱為AlwaysShowExt，然后重啟explorer即可。反之，如果設置名稱為NeverShowExt，就可以讓exe文件擴展名從不顯示。



3、刪除木馬自啟動設置：



1) 刪除注冊表中的自啟動項：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，木馬設置了機器重啟動后對各種殺毒軟件的剿殺；



2)開始菜單-》啟動內的鏈接



以上操作均使用ICESWORD工具進行



4、使用工具剿殺假冒病毒文件。病毒特征為可執行文件，大小為86557，利用該特征可以做一小程序掃描系統中所有的文件夾，找到病毒文件后執行刪除。一般程序員均可以自己試試，編寫一個掃描、查殺工具。先遍歷文件夾，發現為可執行文件后，檢測大小是否為86557，若是則刪除，然后遞歸執行。



這里附一個用Perl腳本寫的查殺工具，可修改查殺路徑：變量$path1





use File::stat;  

  

print "Scan starting ...\n";  

  

my $path1="L:\\";  

deleteit($path1,"*");  

  

  

sub deleteit{  

  my $path = $_[0];  

  my $ext = $_[1];  

  chdir($path);  

  if(my @name=glob("$ext")){  

    #print "test is ok!find ".@name."Files.\n";  

    my $item;  

    foreach $item(@name){  

      $_ = $item;  

      if(-d $item){  

        print ">>>$path\\$item\\\n";  

        &deleteit("$path\\$item\\","$ext");  

        chdir($path); #The most key line, recover the old work directory  

      } elsif(-x $item){  

        my $fileinfo = stat($item);  

        my $size = $fileinfo->size;  

        print $size;  

        if($size == 86557){  

              print $item,"<executable>?\n";  

              system("del -f \"$item\"");  

            }  

      }  

  

    }  

  }  

  

}  



use File::stat;



print "Scan starting ...\n";

灰鴿子使用教程

my $path1="L:\\";

deleteit($path1,"*");





sub deleteit{

  my $path = $_[0];

  my $ext = $_[1];

  chdir($path);

  if(my @name=glob("$ext")){

   #print "test is ok!find ".@name."Files.\n";

   my $item;

   foreach $item(@name){

    $_ = $item;

    if(-d $item){

      print ">>>$path\\$item\\\n";

      &deleteit("$path\\$item\\","$ext");

      chdir($path); #The most key line, recover the old work directory

    } elsif(-x $item){

      my $fileinfo = stat($item);

      my $size = $fileinfo->size;

      print $size;

      if($size == 86557){

         print $item,"<executable>?\n";

         system("del -f \"$item\"");

          }

    }



    }

  }



}



Perl運行環境下載地址：http://downloads.activestate.com/ActivePerl/releases/



5、資源管理器搜索功能恢復



在開始-》運行中執行 regsvr32  jscript.dll，然后殺掉explore.exe進程，重新啟動C:\WINDOWS\explore.exe進程即可。



6、桌面圖標的清除



使用ICESWORED工具清除，找到C:\Documents and Settings\All Users\桌面和C:\Documents and Settings\<當前用戶名>\桌面目錄，清理病毒連接。



在管理模板》控制面板》顯示》隱藏“桌面”選中項卡，點自定義桌面按鈕-》桌面項目面板-》常規-》點現在清理桌面按鈕，然后在要清理的項目名稱前打勾，不需要清理的去掉勾，按向導提示完成即可。