[原创] Trojan Downloader.Win32.QQHelper.mo的清除 (又名Rootkit.startpage.a)

Katydid

Trojan Downloader.Win32.QQHelper.mo的清除 (又名Rootkit.startpage.a)

完整的清除方法请见第6楼结尾和28楼！

今天 卡巴5 突然蹦出窗口说  C:\WINDOWS\system32\dnugup67.dll;是特洛伊木马 Trojan-Downloader.Win32.QQHelper.mo
察看文件属性似乎为微软的电源管理，用Ulocker干掉文件后察看启动和服务，一切正常，但在系统进入桌面的时候会报找不到此文件。
因为平时对系统安全较注意，而且报毒的当时没有可疑的操作（运行文件、察看网页...）怀疑是误报，请朋友帮忙察看你们是否在system32下有同名文件，并告知咔吧5的反应，谢谢！

感谢楼下的朋友的信息，确定是病毒了，在第6楼附上了我的分析过程以及解决方案，供大家参考
因为病毒名是随机生成的，楼下的各位不要大意了哦 ：）
ps：这毒最近似乎很火的

[quote]10.23更新
这病毒真红火，记得前两天在google中搜索只有两三页的信息，今天就上十了... 不过大部分都是求救的帖子，倒是翻到一 blog，上面给出的信息很是惊人，现予以转载：

<惊爆内幕>（又是YAHOO）进来看一下飘雪，飞雪，QQhelper木马的作者


王天平，Yahoo!中国PS部软件开发工程师
手机：13617621007 13911121265


公司：北京雅虎网咨询服务有限公司（简称：Yahoo! China）
地址：北京市朝阳区光华东路甲8号和乔大厦B座6层
邮编：100026
邮件：

无此文件，根据杀软提示，应属于木马。

我这里没有dnugup67.dll



[ 本帖最后由 小瞎 于 2006-10-21 22:49 编辑 ]

谢谢楼上的朋友
看来这下有事做了，现在要出门，期待朋友继续反馈
迟会把斗争过程发上来！

没反映
是不是LZ的机子中招了

确认了，这是个病毒。

此病毒是注入explorer.exe进程，并写注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中。病毒根据电脑随机生成6位字母+2位数字的dll文件，dll文件位于system32文件夹下，另有一个同名的sys文件位于 system32\drivers 下。据说此木马采用Rootkit技术隐藏自身。
上面的信息整理、来源于网上。

下面开始我的探索之旅：为了验证是否是病毒，最主要是确认我是怎么中的（我说了，当时什么都没做，只不过从系统上卸下一个干净的u盘时kaspersky就蹦出来了...）


1、验证身份
本人机器为xp sp2 chs，Kaspersky 5.0 + Jetico PW 1.016, 卡巴报毒为（图）


从卡巴中恢复了报毒的dnugup67.dll，提交扫描，基本上确认此文件有风险（图）




因为我删除此dll后，检查了启动项、服务，并用sreng扫描了启动项，均未发现异常。但是在进入桌面时还是会提示找不到 dnugup67.dll 所以我用sreng生成了日志，在日志中发现以下文字
========
驱动程序
[dnugup6 / dnugup67]
  <\SystemRoot\System32\DRIVERS\dnugup67.sys><N/A>
========
于是去sreng中去查看驱动项，呵呵，原来躲在这儿（图）


这解释了病毒的启动方式：采用同名的驱动文件（请注意其状态是 Boot Start）来注入dll，并在explorer中插入线程来连接网络。

另外，这也更加确认了此dll是病毒而非MS的文件，虽然此dll的属性很真，像极了电池管理（图）

但是在sreng中我隐藏了所有的MS驱动，它还是摆在我们面前呢（图）


而且，真正的电池管理dll为什么要取个这样乱七八糟的名字呢？去system32下看看 batmeter.dll的属性吧，这才是管电池的！


2、进一步的病毒信息
既然是病毒，那么我首先想到去看病毒的运作方式以确认我能杀干净它。可惜...（图）

大意为没有此病毒的详细信息。但是我们也可以看到，此病毒的录入时间很新，算得上一个新变种吧

那么就直接分析dll吧（那个sys的驱动已经被我咔嚓了，只剩一个卡巴自动备份的dll，可惜）
除了发现了自动写入启动项等已经提及的信息，还发现此downloader会在注册表的LM\Software中创建mspa1nt主键，并且利用此主键储存downloader联网纪录（注意不是微软的mspaint哦，那个i是个1）。找到这里，我对我中毒的历程也明了了！

我有个习惯，不时看看注册表中的主键（个人癖好），一段时间前发现LM下出来个mspa1nt，当时就觉得很有趋，因为它很明显想仿冒微软的mspaint（画图），看了看主键下的数值也没怎么深究了。说明那个时候我就已经中了这家伙。于是当卡巴更新到公元某年某月，而我正在卸下u盘，系统正好调用system32目录下的文件时，报了。只可惜，我认为病毒的作者什么都没得到，因为我在Jetico中把Explorer.exe完全禁止了（现在看来真是个好习惯），你注入了Explorer.exe照样不能访问网络，呵呵...


3、彻底删除病毒
卡巴能提示dll，但是不能删。最简单的办法是用Unlocker，干掉dll，这样病毒就不会加载；另外要Unlock掉system32\drivers下的同名sys文件，否则每此进入桌面会提示找不到文件；最后，用sreng卸载掉sys的服务，删除注册表Local Machine下的mspa1nt主键，搞定！ 简单吧~

通过对会员 草莓坏了 提供的sys文件反汇编，发现还需要检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 中是否有病毒启动项并予以删除！在此感谢 草莓坏了 这位朋友

相关工具下载：SREng: http://www.kztechs.com/sreng/sreng2.zip
Unlocker: http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe


PS：以上仅为个人的摸索经验，仅供交流参考，修改系统文件时请小心行事，也请各位朋友批评指正
感谢病毒作者，I've really enjoyed your excellent work

哈,我也中了~unlocker没法删,但按步骤做后,也删了~
下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）

呵呵，昨天我就是被这个病毒搞的重装机器。我卡巴删除了.dll文件，在嬴政上发求助文章，但是被锁帖了。唉，顶起！给那些中毒的朋友们吧

感谢gerald的详细分析
之前一直都习惯允许exploer访问网络，看来确实是隐患～

支持一下！７、８楼都不错的