利用Adobe Flash Player漏洞传播的高危木马实测
最近Adobe Flash Player漏洞引起安全厂商的高度关注,因为Adobe的产品缺少象微软那样的补丁管理系统,该漏洞的影响可能会持续较长时间。已经发现很多木马下载者利用该漏洞传播,并且部分利用Adobe Flasy Play漏洞传播的木马下载器完成任务后会删除自身,增加了捕获样本的难度。
本文实际染毒测试的样本就是这类下载者的代表,该样本会破坏杀毒软件,中毒后的修复过程相当麻烦,希望通过本文给网友恢复系统以新的思路。
本例中,运行样本后有uplive.exe,kissvc.exe,kpfwsvc.exe损坏,需要从其它正常电脑安装的毒霸中恢复,为方便大家修复,这里提供了打包文件下载。
fixduba.zip (548.17 KB)
样本文件名:orz.exe
MD5:5fbabcd8b6c7d42ba38a858582fda63e
染毒环境:
WinXP SP3中文版虚拟机
金山毒霸2008官方下载版,病毒库日期2008.5.12
步骤:
1.运行染毒ORZ.EXE,执行后,ORZ.EXE自动删除。
2.毒霸防火墙立即由红变蓝
观察毒霸文件夹,发现几个重要EXE被1KB大小的同名隐藏文件替换
尝试手动删除,失败,显然文件被使用中。
系统也变得很慢,CPU占用100%,只好强制重启。
3.重启发现毒霸实时监控变灰色,显然服务被删除。
网镖启动也报错
4.下载磁碟机专杀,重命名后双击执行,发现多个恶意软件
专杀工具释放的迷你毒霸扫描到若干盗号木马
5.访问
http://an.baidu.com安装百度安全中心,因为中毒后kasmain.exe被病毒破坏,想试试百度安全中心的web版清理专家的效果,没有用在线杀毒
修复浏览器相关项,全部选中,再禁用选中项。
修复异常的启动项,部分加载项无法被选中是指当前状态下无法修复,暂且不管,能做多少算多少。
清理恶意软件和插件,因磁碟机专杀已经清除部分恶意软件,现在显示的是其它未清除的恶意软件。
清除选中项后,重新扫描,发现未能成功清除。这也是正常的,带毒环境下清除是有可能失败的。
6.磁碟机专杀工具已经完成全盘扫描,建议重启
7.重启后,从其它计算机将uplive.exe复制到已中毒机器的毒霸目录,以恢复毒霸的升级功能,进而通过升级恢复被破坏的毒霸程序文件。
注意:运行uplive前,先将update文件夹删除,这一步很重要,因发现这个病毒还会破坏update文件夹中以前下载的几个程序文件,直接升级会导致出错。
在升级完成,建议重启时,点否,我们可以立即使用最新版本的清理专家来尝试一下。
8.清理专家检测的结果
首次完成清除后,再刷新发现仍然报告,说明仍有病毒程序在运行,此时不必按程序要求重启,先尝试手工解决。
启动项中发现延迟加载项和appinit Dlls加载项
全面检测中发现执行挂钩,选中后尝试修复。
9.接下来,尝试修复毒霸。
双击右下角灰色的毒霸监控图标,打开主程序,点击“解除危险”
在确认框,点是,启动文件实时监控。
然后,你可以尝试全盘杀毒,我不太喜欢全盘杀毒,在监控未发现病毒时,我基本不用全盘杀毒,太花时间了。这里我选择了重启,把杀毒的任务交给毒霸的抢杀技术(Bootscan),只要监控功能恢复正常,已知的病毒会在重启时被删除。
10.再执行清理专家,发现几个恶意软件已经不存在了。
11.但网镖还是没能自动启动,提示服务加载失败
12.开始,运行,输入services.msc,检查发现毒霸的公共服务和网镖的服务均未启动。
双击查看服务的属性,发现文件不存在
分别是KISSvc.EXE和KPfwSvc.EXE,我们只需要从其它电脑COPY这两个文件到毒霸目录,再重新启动这两个服务就解决了。
