Chinaunix

标题: 一个奇怪的病毒，不知道有没有人知道 [打印本页]

作者: Cyberman.Wu 时间: 2009-08-12 13:48
标题: 一个奇怪的病毒，不知道有没有人知道
昨天有人的本子的IE老是访问一个网址（具体忘了，好像是.com.uk的），最后我找到它应该是通过脚本来控制的，因为每次启动能看到一个进程wscript.exe，杀掉之后再改回注册表就好了。现在确认这个脚本执行程序本身应该是没问题的，因为我执行自己写的.vbs文件让它跑起来不会有问题。

现在不知道这个进程是怎么被启动的（常见的地方都没找到），感觉是执行某个脚本，但搜索到的.vbs和.js都看不出哪个可能是有问题的。

作者: 唯三色彩 时间: 2009-08-12 14:07
标题: 回复 #1 Cyberman.Wu 的帖子
看看他的启动项或者服务里面有没有vbs的启动文件；
wscript.exe是微软Microsoft Windows操作系统脚本相关支持程序，是一个脚本语言解释器，需要他才可正常运行脚本，所以它自身是没有问题，有问题的应该还是那个vbs脚本文件。
搜索脚本的时候可以按照他们的创建时间排序察看比较容易发现。

作者: Cyberman.Wu 时间: 2009-08-12 14:53
标题: 回复 #2 唯三色彩的帖子
启动和服务等常见的各种启动程序的手段中都没看到可疑的脚本；搜索出来的脚本也没找到，因为这台电脑也不是最近两天刚中招的。我用搜索带那个地址文本的.vbs和.js都没找到。

作者: flb_2001 时间: 2009-08-12 15:35
1、你怎么知道是脚本vbs呢
2、你是用什么查杀的

作者: Cyberman.Wu 时间: 2009-08-12 17:24

原帖由 flb_2001 于 2009-8-12 15:35 发表
1、你怎么知道是脚本vbs呢
2、你是用什么查杀的

1、我也没说一定是vbs，wscript.exe支持多种脚本，我搜索了VBScript和JScript。
2、这个是别人的机器，上面原来装的杀病软件都查不出来。我只是人工分析找到可疑的进程wscript.exe，并且确认是它导致不停地回写注册表，而这个是用来执行脚本的。只是我对Windows不是很熟悉，不知道如何得到它是在执行什么脚本，查了注册表等各种地方也没找到是如何被启动起来的。

作者: 唯三色彩 时间: 2009-08-12 17:45
最好还是使用一些工具来简单分析下，比如冰韧、autoruns等等，因为很多情况下，病毒的启动注册表项或者文件都是隐藏起来的，很难被发现。

作者: 游戏v人生 时间: 2009-08-13 16:32
我没有但是来预防

作者: flb_2001 时间: 2009-08-13 22:53
用windows进程管理大师看看

作者: 爱你365夜 时间: 2009-08-16 21:33
提示: 作者被禁止或删除内容自动屏蔽

作者: Cyberman.Wu 时间: 2009-08-28 00:37
昨天又有哥们中招，所兴把它搞定了，上次不知道为啥在注册表中用wscript.exe没有找出来，这个病毒是通过改写HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit把自己追加上去完成自启动的，以前还不知道这种方式。也算一个U盘病毒，不过也没干特别坏的事，除了传播自己还删除两个特定的.vbs文件（不属于WinXP）。

详细分析不写了，现在出差只能蹭网，网络时好时坏。奇怪的是我用vim排版之后感觉多了一个End If，看来还是要在虚拟机环境中运行测试一下。

作者: flb_2001 时间: 2009-08-28 12:05
vim是什么啊

作者: 打了科技 时间: 2009-08-28 18:27
提示: 作者被禁止或删除内容自动屏蔽

作者: 明若晓溪水 时间: 2009-08-31 19:16
提示: 作者被禁止或删除内容自动屏蔽

作者: Cyberman.Wu 时间: 2009-09-08 23:57
标题: 回复 #11 flb_2001 的帖子
VIM是UNIX-Like操作系统中很常见的编辑器。

作者: Cyberman.Wu 时间: 2009-09-08 23:58
标题: 回复 #13 明若晓溪水的帖子
当时他们好像试过几个都不行，我不用杀软，所以还不太清楚。

作者: Cyberman.Wu 时间: 2009-09-09 00:06
这个病毒我原来拿到我虚拟机里试了一下好像报错，文件编码有点儿奇怪，后来忙得吐血也没空理它了。今天靠一小段落，代码我就不发了，不过把清除它的方式描述一下，希望对其他人能有所帮助：
1. 用进程管理器或taskkill杀掉正在运行的wscript.exe。
2. 修改HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，把后面附加的chiku2008.VBS去掉。
3. 删除System32下的chiku2008.VBS文件。
4. 恢复注册表中IE的一些设置，这个病毒修改了以下几项：

HKCU\Software\Microsoft\Internet Explorer\Main\Window Title
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\FullScreen

作者: flb_2001 时间: 2009-09-10 11:08
应该用杀软监控注册表

作者: diepics 时间: 2009-09-10 14:28
假如用HIPS锁定就不会中招了.

作者: Cyberman.Wu 时间: 2009-09-12 15:38
其实不用管理员登录基本上不会中招，可惜许多人不习惯。其实基于NT的2000/XP权限管理已经做得挺细致的了，可惜因为习惯原因，Windows下有挺多软件无法用管理员安装然后普通用户使用，所以习惯上都直接用管理员了。

作者: 甜蜜的岁月 时间: 2009-09-17 16:49
提示: 作者被禁止或删除内容自动屏蔽

作者: pxf520 时间: 2009-09-28 23:51
我帮你搞定好了，

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)