热点科技

标题: [原创] Trojan Downloader.Win32.QQHelper.mo的清除 (又名Rootkit.startpage.a) [打印本页]

作者: Katydid 时间: 2006-10-21 22:34
标题: [原创] Trojan Downloader.Win32.QQHelper.mo的清除 (又名Rootkit.startpage.a)

Trojan Downloader.Win32.QQHelper.mo的清除 (又名Rootkit.startpage.a)

完整的清除方法请见第6楼结尾和28楼！

今天卡巴5 突然蹦出窗口说 C:\WINDOWS\system32\dnugup67.dll;是特洛伊木马 Trojan-Downloader.Win32.QQHelper.mo
察看文件属性似乎为微软的电源管理，用Ulocker干掉文件后察看启动和服务，一切正常，但在系统进入桌面的时候会报找不到此文件。
因为平时对系统安全较注意，而且报毒的当时没有可疑的操作（运行文件、察看网页...）怀疑是误报，请朋友帮忙察看你们是否在system32下有同名文件，并告知咔吧5的反应，谢谢！

感谢楼下的朋友的信息，确定是病毒了，在第6楼附上了我的分析过程以及解决方案，供大家参考
因为病毒名是随机生成的，楼下的各位不要大意了哦：）
ps：这毒最近似乎很火的

[quote]10.23更新
这病毒真红火，记得前两天在google中搜索只有两三页的信息，今天就上十了...

不过大部分都是求救的帖子，倒是翻到一 blog，上面给出的信息很是惊人，现予以转载：

<惊爆内幕>（又是YAHOO）进来看一下飘雪，飞雪，QQhelper木马的作者

王天平，Yahoo!中国PS部软件开发工程师
手机：13617621007 13911121265

公司：北京雅虎网咨询服务有限公司（简称：Yahoo! China）
地址：北京市朝阳区光华东路甲8号和乔大厦B座6层
邮编：100026
邮件：

作者: 13972100086 时间: 2006-10-21 22:38
无此文件，根据杀软提示，应属于木马。

作者: aman008 时间: 2006-10-21 22:40
我这里没有dnugup67.dll

[ 本帖最后由小瞎于 2006-10-21 22:49 编辑 ]

作者: lktypcl 时间: 2006-10-21 22:45
谢谢楼上的朋友
看来这下有事做了，现在要出门，期待朋友继续反馈
迟会把斗争过程发上来！

作者: 17737 时间: 2006-10-22 00:58
没反映
是不是LZ的机子中招了

作者: xg19760104 时间: 2006-10-22 07:54
确认了，这是个病毒。

此病毒是注入explorer.exe进程，并写注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中。病毒根据电脑随机生成6位字母+2位数字的dll文件，dll文件位于system32文件夹下，另有一个同名的sys文件位于 system32\drivers 下。据说此木马采用Rootkit技术隐藏自身。
上面的信息整理、来源于网上。

下面开始我的探索之旅：为了验证是否是病毒，最主要是确认我是怎么中的（我说了，当时什么都没做，只不过从系统上卸下一个干净的u盘时kaspersky就蹦出来了...）

1、验证身份
本人机器为xp sp2 chs，Kaspersky 5.0 + Jetico PW 1.016, 卡巴报毒为（图）
[attach]1474945[/attach]

从卡巴中恢复了报毒的dnugup67.dll，提交扫描，基本上确认此文件有风险（图）
[attach]1474946[/attach]
[attach]1474947[/attach]
[attach]1474948[/attach]

因为我删除此dll后，检查了启动项、服务，并用sreng扫描了启动项，均未发现异常。但是在进入桌面时还是会提示找不到 dnugup67.dll

所以我用sreng生成了日志，在日志中发现以下文字
========
驱动程序
[dnugup6 / dnugup67]
<\SystemRoot\System32\DRIVERS\dnugup67.sys><N/A>
========
于是去sreng中去查看驱动项，呵呵，原来躲在这儿（图）
[attach]1474949[/attach]

这解释了病毒的启动方式：采用同名的驱动文件（请注意其状态是 Boot Start）来注入dll，并在explorer中插入线程来连接网络。

另外，这也更加确认了此dll是病毒而非MS的文件，虽然此dll的属性很真，像极了电池管理（图）
[attach]1474950[/attach]
但是在sreng中我隐藏了所有的MS驱动，它还是摆在我们面前呢（图）
[attach]1474949[/attach]

而且，真正的电池管理dll为什么要取个这样乱七八糟的名字呢？去system32下看看 batmeter.dll的属性吧，这才是管电池的！

2、进一步的病毒信息
既然是病毒，那么我首先想到去看病毒的运作方式以确认我能杀干净它。可惜...（图）
[attach]1474951[/attach]
大意为没有此病毒的详细信息。但是我们也可以看到，此病毒的录入时间很新，算得上一个新变种吧

那么就直接分析dll吧（那个sys的驱动已经被我咔嚓了，只剩一个卡巴自动备份的dll，可惜

）
除了发现了自动写入启动项等已经提及的信息，还发现此downloader会在注册表的LM\Software中创建mspa1nt主键，并且利用此主键储存downloader联网纪录（注意不是微软的mspaint哦，那个i是个1）。找到这里，我对我中毒的历程也明了了！

我有个习惯，不时看看注册表中的主键（个人癖好

），一段时间前发现LM下出来个mspa1nt，当时就觉得很有趋，因为它很明显想仿冒微软的mspaint（画图），看了看主键下的数值也没怎么深究了。说明那个时候我就已经中了这家伙

。于是当卡巴更新到公元某年某月，而我正在卸下u盘，系统正好调用system32目录下的文件时，报了。只可惜，我认为病毒的作者什么都没得到，因为我在Jetico中把Explorer.exe完全禁止了（现在看来真是个好习惯

），你注入了Explorer.exe照样不能访问网络，呵呵...

3、彻底删除病毒
卡巴能提示dll，但是不能删。最简单的办法是用Unlocker，干掉dll，这样病毒就不会加载；另外要Unlock掉system32\drivers下的同名sys文件，否则每此进入桌面会提示找不到文件；最后，用sreng卸载掉sys的服务，删除注册表Local Machine下的mspa1nt主键，搞定！

简单吧~

通过对会员草莓坏了提供的sys文件反汇编，发现还需要检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 中是否有病毒启动项并予以删除！在此感谢草莓坏了这位朋友

相关工具下载：SREng: http://www.kztechs.com/sreng/sreng2.zip
Unlocker: http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe

PS：以上仅为个人的摸索经验，仅供交流参考，修改系统文件时请小心行事，也请各位朋友批评指正

感谢病毒作者，I've really enjoyed your excellent work

作者: nb888 时间: 2006-10-22 09:02
哈,我也中了~unlocker没法删,但按步骤做后,也删了~
下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）

作者: vostk 时间: 2006-10-22 09:33
呵呵，昨天我就是被这个病毒搞的重装机器。我卡巴删除了.dll文件，在嬴政上发求助文章，但是被锁帖了。唉，顶起！给那些中毒的朋友们吧

作者: a0402850 时间: 2006-10-22 10:12
感谢gerald的详细分析
之前一直都习惯允许exploer访问网络，看来确实是隐患～

作者: emiy 时间: 2006-10-22 11:04
支持一下！７、８楼都不错的

作者: mingyue0 时间: 2006-10-23 17:32
高，实在是高！！！
以前我还真没有用如此心劲去对付一个病毒，还要向你们靠齐。
不过，我的卡巴也是查出过，但是我用瑞星删除了。
我一般是准备三种杀毒软件，现在有四种，瑞星、卡巴、咖啡、毒霸，总有一种可以对付。
但是看到你们如此上心，汗颜！

作者: lzx19791027 时间: 2006-10-23 18:07
回复 #11 heda88888 的帖子
兄弟你这样把杀软卸载了再安也很累啊。

作者: hongtu02150425 时间: 2006-10-23 19:10
哈我也种了，我的文件名是kacndo31，我备份了dll和sys文件才删除的，然后把注册表中的kacndo31都删了，不知道有没问题，不过有两个子项没能删除掉，但是开机加载已经没了

作者: hgw269 时间: 2006-10-23 19:11
哈我也种了，我的文件名是kacndo31，我备份了dll和sys文件才删除的，然后把注册表中的kacndo31都删了，不知道有没问题，不过有两个子项没能删除掉，但是开机加载已经没了

作者: delilai 时间: 2006-10-23 20:57
现在的病毒越来越狡猾了。

作者: keyboy 时间: 2006-10-23 21:15
雅虎和３６０人马的对决，应该是最高水准的好戏了，反映了最前沿的手段！虽不懂，但喜欢看热闹。呵呵～

作者: ccj76 时间: 2006-10-23 23:40
注册表里面还是有很多这个病毒的键值删除不了

作者: hyjdxj 时间: 2006-10-23 23:48
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JVQGGG43
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JVQGGG43
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JVQGGG43
其中JVQGGG43是我机器上的文件名，大家的应该不一样
这三个键制值删除不了，大虾帮忙啊~~~~

作者: schnabel 时间: 2006-10-23 23:56
寒啊公司打仗居然要给老百姓祸害 TMD 这两个什么垃圾玩意！

作者: elvos 时间: 2006-10-24 11:58
我也中标了,晕啊

作者: 86855778 时间: 2006-10-24 12:07
现在的病毒真是太牛了。。。寒。。。。

作者: xmjohnwu 时间: 2006-10-24 20:22
我也中了,NPMATT48.DLL

作者: tomlinson 时间: 2006-10-24 20:24
强人啊~~幸好没中~~~

作者: Bruce2007 时间: 2006-10-24 20:49
学了，手工清楚总是很牛的。

作者: punk 时间: 2006-10-24 21:16

原帖由 zcam 于 2006-10-23 23:48 发表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JVQGGG43
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JVQGGG43
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JV ...

我这里没有这个症状。麻烦你贴张图上来，无法删除键值的提示是什么？

作者: zhuoyunning 时间: 2006-10-24 21:18
提示: 作者被禁止或删除内容自动屏蔽

作者: wd110 时间: 2006-10-24 21:40
我删除了怎么一会就恢复了???

作者: mingmingming 时间: 2006-10-24 21:43
由于我搜索注册表时使用了“完全匹配”，导致我未发现
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_xxxxxx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_xxxxxx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_xxxxxx
（xxxxxx 为病毒dll的文件名）
下的病毒键值，惭愧...

此键值使用regedit无法直接删除，建议使用 IceSword 强制删除，下载本贴中的附件，解压运行并选择注册表项（图）[attach]1477980[/attach]...
Good Luck!

在此感谢zcam以及各位反馈的朋友

[ 本帖最后由 gerald 于 2006-10-24 22:00 编辑 ]

作者: qiqioklokl 时间: 2006-10-24 21:51
用不了冰仞,显示初使化失败

作者: 65410358 时间: 2006-10-24 21:58
楼主精神值得学习，很久没有看到这么有技术含量的帖子了

作者: cp3843613 时间: 2006-10-24 22:13

原帖由孙浩于 2006-10-24 21:51 发表
用不了冰仞,显示初使化失败

初始化失败后面的参数是什么？如果我没记错应该有的

作者: kingwei 时间: 2006-10-24 22:45
有时是1,有时是3

作者: tony855 时间: 2006-10-24 22:51
刚才没用冰刃把权限改了也删除了,将NPMATT48的项全删干净了,搜了几遍都没搜到,用楼主提供的软件将NPMATT48.sys也删除了,可是重启后还是显示NPMATT48.dll未加载.NPMATT48.dll是用EWIDO删除的

作者: wanjack 时间: 2006-10-24 22:54
这人太坏了。。。。。。。。。。。

作者: zmd1980 时间: 2006-10-24 22:54
我也没有mspa1nt主键

作者: ljlwxb 时间: 2006-10-24 23:01

原帖由 gerald 于 2006-10-24 21:43 发表
由于我搜索注册表时使用了“完全匹配”，导致我未发现
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_xxxxxx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_xxxxxx
HKEY_LOCAL_ ...

不谢呢，谢谢你才对啊，我已经在中午解决了

跟你一样，用了IceSword，呵呵，解决时候参考了网上的一篇文章，感谢该文章的作者~贴上，呵呵

最近才出现的木马Trojan-Downloader.Win32.QQHelper.mo，其隐藏性极强，是黑管程序Rootkit系列病毒，好多杀毒软件都不能查杀，就连世界顶尖的卡巴斯基也只能查出而不能杀掉，致使卡巴斯基不停的尖叫报警，使你无法正常工作。该病毒危害系统，自动连接下载盗窃用户键盘输入的各类账号和密码的木马安装在用户机子里，有了他你机子里的盗号木马随时都可产生，对计算机用户的威胁极大！最近中国反病毒协会已高度注视，现已采集到病毒样本，正在研究。该病毒寄生在系统目录的Dll文件里，路径：C:\windows\system32\nvtfpv20.dll 也可能是其他的dll文件.卡巴斯基可查不可杀,在安全模式下也不能杀掉,并且在安全模式下禁止卡巴斯基扫描.每次开机启动，病毒就自动运行.十分难对付!本人用了几天的时间苦心研究试验，找到了查杀该病毒的方法。

清理方法：

首先选用两个查杀工具：一是Unlocker解套软件；二是IceSword冰刃专杀软件（主要用于清理注册表）。找不到这两个软件或不会使用的朋友请与我联系，我的QQ：46328489

1、安装并运行Unlocker解套软件。这个软件是右键扩充工具，安装后，它便能整合于鼠标右键的操作当中，当使用者发现有某个文件或目录无法删除时，只要按下鼠标右键中的“Unlocker”，那么程序马上就会显示出是哪一些程序占用了该目录或文件，接着只要按下弹出的窗口中的Unlock”就能够为你的文件解套。(因为病毒文件是寄生在其他系统文件里的,所以要把病毒解套出来才能看到它的真实面目,才便于杀掉它). Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用文件的程序，而是以解除文件与程序关连性的方式来解锁，因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。安装运行Unlocker后,在 C:\WINDOWS\system32 下找到病毒文件（是一个DLL文件，由字母和数字组成的，卡巴斯基能查到这个病毒但删不了，可以用卡巴斯基找到这个病毒文件名），找到带病毒的文件后,右击这个文件,在下拉菜单中选择unlocker进行解锁（安装完软件后会在右键菜单上生成一个unlocker的菜单项）。解锁后可用手动删除.也可用卡巴斯基删除.

删除system32里带病毒的dll文件后,再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个dll文件同名，只是扩展名不一样）用同样的方法先解锁后用手动删除。删除后记到清空回收站。然后再运行regedit打开注册表编辑器，分别在

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services

HKEY_LOCAL_MACHINE\SYSTEM\Controlset003(或002)\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）至此,可恨的Trojan-Downloader.Win32.QQHelper.mo被杀掉了,重启计算机,卡巴斯基就不再报警尖叫了.

但是该病毒还没彻底删除干净，还有抓子（钩子）与外界相连，一但时机成熟又从病毒网站下载该病毒运行。所以要把抓子一起干掉，这个抓子在注册表：

HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20 里（也许你机子里的病毒文件名不是这个nutfpv20,但都在Root项下），这个抓子在常规下是删除不了的，必须要借助于以下工具。

2、运行IceSword冰刃专杀软件（此软件是免安装的）。打开后点“注册表”，按照地址HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20找到NUTFPV20（NUTFPV20是病毒文件名，也许你的不是这个文件名，但性质是一样的），删除右边栏里NUTFPV20的所有键值。至此大功告成！你的心情和爱机顿感亮丽愉悦！

作者: yuyunmg 时间: 2006-10-24 23:05

原帖由孙浩于 2006-10-24 22:51 发表
刚才没用冰刃把权限改了也删除了,将NPMATT48的项全删干净了,搜了几遍都没搜到,用楼主提供的软件将NPMATT48.sys也删除了,可是重启后还是显示NPMATT48.dll未加载.NPMATT48.dll是用EWIDO删除的

需要删除sys文件 + 在sreng中删除掉驱动项
没有mspan1t键的一个可能的解释是LZ的downloader还没连过网！或者是我这个downloader下载的一个特定木马的纪录，所以也不尽相同

[ 本帖最后由 gerald 于 2006-10-24 23:08 编辑 ]

作者: topsz 时间: 2006-10-24 23:09
这个病毒有个特点，格掉后GHOST依然存在！
现在清除后不知道还会不会再来。。。。

作者: nimade7456 时间: 2006-10-24 23:12

原帖由 zcam 于 2006-10-24 23:09 发表
这个病毒有个特点，格掉后GHOST依然存在！
现在清除后不知道还会不会再来。。。。

现在虽然清除的办法基本明了，但我还是想不通当时是怎么中的，只知道是卡巴定义它之前。但是我使用电脑的习惯良好，测试软件都在虚拟机中弄的，母文件和具体的传播方式还不清楚...

作者: mkszyzx 时间: 2006-10-24 23:15
学到了不少好经验呀病毒是越来越狡猾了！

作者: sheepper 时间: 2006-10-24 23:36
刚才用系统还原还是不行,我搜索过了,没有找到.sys和.dll文件???

作者: rheet 时间: 2006-10-24 23:43

原帖由孙浩于 2006-10-24 23:36 发表
刚才用系统还原还是不行,我搜索过了,没有找到.sys和.dll文件???

还是弹出窗口？如果全部步骤都完成了，请用sreng扫描一个报告发上来

作者: natas 时间: 2006-10-25 00:04
终于解决了,找到.sys文件了,谢谢楼主

作者: asdfg789 时间: 2006-10-25 11:08
俺也是中了这个病毒。格式化以后重装的。然后逐个摸查，发现俺在安装FlashGet1.73版的时候，咔吧报警的。这个版本我记得不是在官方网站下载的就是官方推荐网站下载的（可能记忆有误）。在官方网站重新下载以后，安装。发现无报警。比较两者大小不一致。MD5值当然也不一致。各位是怎么中毒的？

作者: xuliang925 时间: 2006-10-25 11:17
谢谢提示.

作者: landy1883 时间: 2006-10-25 14:41
提示: 作者被禁止或删除内容自动屏蔽

作者: axxshy 时间: 2006-10-25 17:47

原帖由 zhangxuebin 于 2006-10-25 14:41 发表

我也是用虚拟机装软件的,卡巴病毒库也基本每天更新,不清楚怎么染上的......

我是zhangxuebin的马甲

作者: ipbucunzai001 时间: 2006-10-25 22:04
谢谢谢谢！WZ强者很多```

作者: sujf 时间: 2006-10-26 16:02
的确在朋友的机器上看到过这个，偶用unlock删掉了

作者: xueshengli 时间: 2006-10-26 16:52
又见病毒啊，什么时候是个头啊。

作者: gduflry 时间: 2006-10-26 16:58
学习中

作者: 3104683 时间: 2006-12-19 09:39
非常感谢，正用得上

作者: wolfguy3 时间: 2007-2-1 00:35
谢谢楼主分享!!!

作者: xh7921 时间: 2007-4-1 14:52
ding ~~~~~~~~~~~~~

欢迎光临热点科技 (http://www.itheat.com/activity/)