关于WIN32.EXE变态木马下载器的解决办法

一、WIN32.EXE的来源：http://fdghewrtewrtyrew.biz/adv/130/win32.exe
二、运行后的表现：此WIN32.EXE通过80和8080端口访问若干个IP，若防火墙不能监测到或令防火墙允许该访问，WIN32.EXE会自动下载木马Kernels8.exe到system32目录下；Kernels8.exe自网络下载1.dlb、2.dlb.....等一堆木马到当前用户文件夹中，并自动运行。下载的木马加载运行后，又从网络上下载其它木马/蠕虫。

木马/蠕虫完全下载并植入系统后，SREng日志可见：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在运行的进程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A] 
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 f-secure.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 kaspersky.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 us.mcafee.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 v5windowsupdate.microsoft.nsatc.net
127.0.0.1 viruslist.com
127.0.0.1 windowsupdate.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.com
127.0.0.1 www.bitdefender.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.ravantivirus.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日志可见：

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll

其中，C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe进程。这个.dll处理起来较难。原因在于：
1、这个dll位于隐藏文件夹中，须用IceSword或WINRAR等工具才能看到。
2、因为它插入了winlogon.exe进程，这个dll不能直接删除。
3、不知这堆木马/蠕虫中的哪几个开启了IE进程若干（并无IE窗口打开）。WINDOWS的“任务管理器”被禁；用其它工具，表面上虽可进行结束IE进程的操作，但无论用什么工具结束IE进程后，病毒又试图通过winlogon.exe启动IE进程（SSM可监控到此过程）；此时，如果用较低版本的SSM禁止winlogon.exe启动IE进程，则系统崩溃，重启。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe启动IE进程而无副作用。

这堆病毒的处理难点还有：
1、病毒感染系统时，已经在系统相关目录（有.exe文件的目录）以及系统分区以外的其它分区目录（有.exe文件的目录）下释放了大量.t文件。以后，凡运行相关的.exe时，须先执行这个.t文件；此过程可被SSM监控到，也可被SSM禁止。然而，若用SSM禁止这个.t运行，则你要运行的那个.exe也同样被SSM禁止了。中招后用杀毒软件杀毒就是一个例子（卡巴斯基最新病毒库只能检出其中部分病毒）。一旦允许卡巴斯基目录下的.t运行，kav.exe即被感染（MD5值改变）。收拾干净系统后，我只好卸载卡巴斯基，重新安装。我的Tiny防火墙也是同样下场。为了看全这“西洋景”，我关闭了Tiny。染毒/系统重启后，Tiny自动加载时amon.exe被感染。
2、如果没有完全禁止所有的病毒程序运行，就在普通WINDOWS模式下删除木马/蠕虫文件，删除操作时会在同一位置生成数目不等的、文件名后缀为.t的文件，文件名为随机排列的8个小写英文字母。

三、我的处理办法：
1、用最新版SSM2.2结束上述病毒进程，并将其归入blocked组。将SSM设置为“自动运行”。
2、重启系统。
3、重启系统后，SSM还报病毒程序试图加载（木马通过SSM安装文件夹中的.t实现启动加载），可用SSM禁止它，并归入blocked组。
4、删除病毒的加载项（见前面的SREng以及HijackThis日志）。
5、显示隐藏文件。删除病毒文件（图1－图6）。要删除的病毒文件太多，做为例子，图中显示的只是这堆病毒中的主要文件以及删除病毒文件时生成的部分.t文件（如果将删除到回收站的病毒文件全部显示出来，则需要18张图）。
染毒后生成的.t文件的多寡目及分布范围取决于（1）系统启动时加载运行的程序数目；（2）染毒后未处理干净前在WINDOWS下操作步骤的多寡；（3）系统分区以外的其它分区各目录下的文件夹中是否包含.exe文件（文件夹中若不包含.exe文件，则无病毒.t文件生成）。
6、修复HOSTS文件。
7、卸载、重新安装被感染的应用程序（MD5值改变的那些）。

图1