追杀sfc008木马

作者：hongweigg

下了个飞秋等几个小软件，没想竟然中毒了。 
 
 
一、病毒特征
 
 
 
 
 
1、机器变得非常的慢，IE网页首页被自动定位到一个网站：
 
 
 
 
 
http://www.sfc008.com/?ie98-WZ
 
 
 
 
 
（编者注：如果是这个网站利用木马病毒做宣传，真实卑鄙之极，人人得而诛之）
 
 
 
2、同时桌面上出现了几个IE超级链接，如“淘宝购物”、“好看电影”,"Internet Explorer"等5个。直接删除删除不掉。
 
 
 
3、同时在c:windowssystem32下产生两个文件夹，文件夹名不规则：qfdpiaebbu，todqcgshvk，内各放一explore.exe和smss.exe木马文件。
 
 
 
c:EEQQ，包含两个病毒文件：EEQ.exe，QQE.exe。
 
 
 
 
 
4、机器上的文件夹被隐藏，同时创建与该文件夹同一名称的木马文件，该木马文件图标为文件夹样式，但不显示扩展名，外观上和原有被冒充的文件夹一模一样。但若点击该木马文件则病毒文件得以运行，其巧妙之处除了偷梁换柱之外，点病毒文件亦能打开对应文件夹，不仔细看很容易被迷惑住。例如：
 
 
 
原有X目录：
 
 
 
文件夹A、文件夹B
 
 
 
病毒做手脚后，X目录文件分布：
 
 
 
文件夹A、文件夹B                         注：设置隐藏属性，若文件夹选项设置为不显示隐藏文件，则该原文件夹不可见。
 
 
 
文件夹A.exe、文件夹B.exe          注：产生与原有文件夹同名称的木马病毒文件，但可执行文件的扩展名被隐藏。
 
 
 
5、病毒文件大小为86557。
 
 
 
6、资源管理器搜索功能被屏蔽，点搜索，搜索面板一片空白，真叫人欲哭无泪。
 
 
 
 
 
二、手工清除办法
 
 
 
1、使用ICESWORD 等杀毒工具，在进程中杀掉c:windowssystem32qfdpiaebbuexplore.exe，c:windowssystem32todqcgshvksmss.exe进程；接着清除c:windowssystem32qfdpiaebbuexplore.exe，c:windowssystem32todqcgshvksmss.exe文件，c:EEQQ目录。
 
 
 
2、让exe文件的扩展名总是显示，方法如下：
 
 
 
打开 注册表编辑器，在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe)，选中exefile，在右边窗口空白处点右键，选择“新建→字符串值”，设置名称为AlwaysShowExt，然后重启explorer即可。反之，如果设置名称为NeverShowExt，就可以让exe文件扩展名从不显示。
 
 
 
3、删除木马自启动设置：
 
 
 
1) 删除注册表中的自启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，木马设置了机器重启动后对各种杀毒软件的剿杀；
 
 
 
2)开始菜单-》启动内的链接
 
 
 
以上操作均使用ICESWORD工具进行
 
 
 
4、使用工具剿杀假冒病毒文件。病毒特征为可执行文件，大小为86557，利用该特征可以做一小程序扫描系统中所有的文件夹，找到病毒文件后执行删除。一般程序员均可以自己试试，编写一个扫描、查杀工具。先遍历文件夹，发现为可执行文件后，检测大小是否为86557，若是则删除，然后递归执行。
 
 
 
这里附一个用Perl脚本写的查杀工具，可修改查杀路径：变量$path1
 
 
 
 
 
use File::stat;  
 
  
 
print "Scan starting ...n";  
 
  
 
my $path1="L:";  
 
deleteit($path1,"*");  
 
  
 
  
 
sub deleteit{  
 
  my $path = $_[0];  
 
  my $ext = $_[1];  
 
  chdir($path);  
 
  if(my @name=glob("$ext")){  
 
    #print "test is ok!find ".@name."Files.n";  
 
    my $item;  
 
    foreach $item(@name){  
 
      $_ = $item;  
 
      if(-d $item){  
 
        print ">>>$path$itemn";  
 
        &deleteit("$path$item","$ext");  
 
        chdir($path); #The most key line, recover the old work directory  
 
      } elsif(-x $item){  
 
        my $fileinfo = stat($item);  
 
        my $size = $fileinfo->size;  
 
        print $size;  
 
        if($size == 86557){  
 
              print $item,"<executable>?n";  
 
              system("del -f "$item"");  
 
            }  
 
      }  
 
  
 
    }  
 
  }  
 
  
 
}  
 
 
 
use File::stat;
 
 
 
print "Scan starting ...n";
 
 
 
my $path1="L:";
 
deleteit($path1,"*");
 
 
 
 
 
sub deleteit{
 
  my $path = $_[0];
 
  my $ext = $_[1];
 
  chdir($path);
 
  if(my @name=glob("$ext")){
 
   #print "test is ok!find ".@name."Files.n";
 
   my $item;
 
   foreach $item(@name){
 
    $_ = $item;
 
    if(-d $item){
 
      print ">>>$path$itemn";
 
      &deleteit("$path$item","$ext");
 
      chdir($path); #The most key line, recover the old work directory
 
    } elsif(-x $item){
 
      my $fileinfo = stat($item);
 
      my $size = $fileinfo->size;
 
      print $size;
 
      if($size == 86557){
 
         print $item,"<executable>?n";
 
         system("del -f "$item"");
 
          }
 
    }
 
 
 
    }
 
  }
 
 
 
}
 
 
 
Perl运行环境下载地址：http://downloads.activestate.com/ActivePerl/releases/ 
 
 
 
5、资源管理器搜索功能恢复
 
 
 
在开始-》运行中执行 regsvr32  jscript.dll，然后杀掉explore.exe进程，重新启动C:WINDOWSexplore.exe进程即可。
 
 
 
6、桌面图标的清除
 
 
 
使用ICESWORED工具清除，找到C:Documents and SettingsAll Users桌面和C:Documents and Settings<当前用户名>桌面目录，清理病毒连接。
 
 
 
在管理模板》控制面板》显示》隐藏“桌面”选中项卡，点自定义桌面按钮-》桌面项目面板-》常规-》点现在清理桌面按钮，然后在要清理的项目名称前打勾，不需要清理的去掉勾，按向导提示完成即可。
 
 
 
 
 
三、结语
 
 
 
 
 
1、注意：在中毒后，文件夹不能随便点击，以免误执行病毒文件；桌面上的Internet Explorer图标也不要点击。
 
 
 
2、希望杀毒专业人士对该病毒做更进一步分析，提出完善的查杀方案和简单的操作方法和查杀工具，以清除病毒，打击木马营销者的嚣张气焰。