近期,我正在打算学习研究下汇编和反汇编的技术,3月9号,我在某个诡异的下载网上准备下载一个ini文件查看器,我以为按照老套路只要点普通的线路下载就不会下载到广告插件,结果打开后依然是充满广告插件的安装界面,我本来想着老套路都是用一些浅色小号字体的广告下载的勾选,我只要去掉勾选就可以了,然后仔细检查了一遍界面里没有其他勾选的东西之后就点了安装,因为一般这种小工具也没多大,看了一眼文件大小也没感觉有啥异常,结果安完之后就开始自动的下载各种垃圾插件,我一拍脑袋,靠了!好久没见到带广告的安装器,特么的大意了,现在他们换套路了!里面没有安装路径的选择输入框! 我没注意到这点!!!
然后我手忙脚乱的开始找进程,删文件,忙活了半天之后我点了一下360,打算让它帮我再找找有没有漏掉的,结果点了几遍没反应,我也没太在意,平时还总往出弹东西,吃我内存,现在彻底消停了那就不管他了,接着查资料学习吧。
从那之后的几天内,我的电脑在每次启动时都会弹出一个命令行窗口,命令行窗口名为C:\Windows\System32\wbem\WMIC.exe
上面的窗口里面会自动的执行一段代码,一闪而过,看不太清具体是什么东西,我只看清了一个关键词script,但此时傻乎乎的我还没意识到问题的严重性,还以为那是我最近下载的某个软件的后台服务启动程序,后来的事实证明,那确实是一个后台进程启动程序,只不过并不是什么好东西。。。
在最开始的几天内,由于我是在学校宿舍里,下课后才回来用电脑上网,学校在郊区,网络信号很糟糕,所以平时玩游戏时候出现了卡顿也没在意。
大概在前天也就是3月14号,我再次打开电脑的时候,突然变的巨卡,鼠标都开始不听使唤了,我觉得有些奇怪,耐着性子一点一点挪动鼠标去看一眼任务管理器的时候,看到CPU被占用到100%,内存也爆高,费力的点回到进程窗口,发现有一大堆重复的名为MS_17_010_Scan.exe的进程,这时候再傻的人也应该意识到这特么是个令人蛋疼的病毒跑起来了,然后我就去搜索了一圈这个关键词,发现这应该是个针对WIN系统端口漏洞的病毒,目的应该是利用端口漏洞远程执行代码什么的,这可真令人头大,我一个小白学生哪见过这场面,也没了解过相关的技术,只能先自己抓瞎式的试试能不能先把这个进程关了,把它源程序给删了,折腾了好一会,最后好像是消停了下来。
虽然电脑暂时正常了,但我还是觉得放不下心,想用杀软跑一跑,赶紧查杀一波,结果呼唤360大大依然失败,软件窗口刚弹出就消失了,平时用不到的时候天天叫我更新升级啥的,现在用上你的时候结果跟我傲娇上了,我还以为是我好久没用,他自己出了点问题,就又去网上下了最新的版本,在安装界面还没啥问题,但是安装完刚到杀软防护进程启动步骤时,360直接闪退了!!! 我不得不承认,此时我稍微有点慌了,但是这时候已经很晚了,宿舍也停电了,又尝试装了一遍,还是起不来,在网上一顿匆忙的乱搜了一会也没搜到什么有用的信息,而电脑也没电了,没办法,今天只好先作罢了,明天早上还有课,于是去睡觉了。
在第二天也就是3月15号周五晚上,经历一天令人蛋疼的课程之后,拖着疲惫的身体回到宿舍,躺下休息了一会之后,想着打两把欢乐瓜皮的LOL找点乐子,起来开撸!
第一局游戏在欢声笑语中打出了GG,第二局游戏刚开几分钟,我的FPS(帧数)突然显示为个位数了!并且在十几二十几之间徘徊,画面极其卡顿完全玩不了了,看了一眼延迟,还算正常没什么变化,我想着可能又有什么鬼东西占用了我的性能,就切出来看一眼任务管理器,结果出现了很诡异的现象,我刚切出游戏界面回到桌面查看性能监控的窗口时,CPU从100%瞬间掉回到正常百分比(tip:本人电脑系统是WIN7只能看到CPU和内存性能监控,win10应该可以同时看到CPU和GPU被跑满了),于是我又重复了好几遍这个操作,发现每一次都是这样,而此时我的电脑即使关掉游戏也开始卡顿,于是打算重启一下试试。
重启之后,在桌面不再卡顿恢复了正常状态,而进入游戏时卡顿的现象又出现了,这时候我开始意识到问题的严重性了,但是我的第一个推测将我引导向了显卡驱动是否出现问题上,在我刚准备开始搜索显卡驱动相关的问题时,我感觉问题应该没那么简单,最近在我电脑上出现的种种异常现象让我认为我现在应该首要进行排查的问题不是显卡本身的问题,而是那个每次开机都会弹出的诡异窗口!(为啥我现在才想到这个啊)
既然决定好了开始排查的起点,就开始一步一步的进行信息的搜索收集和整理分析。
我先是搜索了解了一下WMIC.EXE到底是什么东西。
看上去它本身只是WIN系统自己的组件,并不是病毒本体,去文件夹里看了一眼,文件信息都是正常的官方文件,就先别乱删了。
在后续的浏览中偶然发现了一篇博客,在这里对我们伟大的CSDN和博客园以及这篇博客的转载者ProjectDer 和原作者 有价值炮灰 表示感谢!
原文链接:http://www.cnblogs.com/pannengzhi/p/windows-self-check.html
CSDN链接:https://blog.csdn.net/qq_33020901/article/details/78891938
于是乎我根据博客中内容,进行了我目前能实际操作和观察结果的方法去查找了注册表(tip:WIN+R,输入regedit)中的相关路径,果然有了发现!
可以很清楚的发现系统自启项中出现了以我的计算机名“RENEXTONPC”命名的诡异的键,而在值里面的代码段出现了之前在一闪而过的WMIC.EXE命令窗口中的代码段里的script关键词,直接锁定是这个启动项搞的鬼,于是我把它的值打开看看里面到底是什么鬼东西。
可以很清楚的看出来这是利用了系统的组件创建进程去新建了一个VBS脚本,(tip:VBS脚本我就没见过有几个拿来干正经事的,包括我自己,噗~)
这里的目录已经很清楚了,我就直接复制目录顺藤摸瓜就行了。
刚把目录复制过来的时候一不小心搞错了,居然还让我发现了一个EXE文件,也算是瞎猫碰死耗子,然后简单观察一下,看一眼日期,很明显就是在我3月9号也就是刚中招的那天刚进到我电脑里来的病毒文件,本来这种令人蛋疼的东西应该尽快删除才好,但是我准备删VBS脚本的时候犹豫了一下,我以前搞一些小恶作剧的时候对VBS脚本有过一点了解,就把它右键记事本打开看看里面到底写了什么,后来的事实证明,我这一次鼠标的点击简直可以称之为上帝之手。
脚本只有简单两句,就算没写过VBS脚本的应该也能读懂,创建wscript.shell对象,然后运行病毒的EXE程序,但是重点是后面还带了一个参数-LNK4258,非常明显,这个参数值就是我接下来信息搜索的关键!!
于是在搜索结果中一眼就看到关键词,和这个LNK相关的东西显然不是什么善茬!
然后我直接进入CNVD国家信息安全漏洞共享平台发布的一篇周报搜寻有用的信息。
看到上面的关键词,这里已经敲定了这个LNK就是病毒文件相关的东西,但是直接搜索这个关键词LNK4258搜索结果中有太多的杂乱干扰信息,我现在可没那么多时间慢慢浏览,马上在搜索关键词里加上病毒俩字,于是马上就有了更加直观的结果。
可以看到文章简介中的代码段和我电脑上的脚本几乎一模一样的,不多墨迹,赶紧看看!
在这里依然是对强大的黑客技术交流社区
微步在线威胁情报社区https://x.threatbook.cn/
以及博客匿名作者表示感谢!
原文链接:https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=1121
看到这里我们已经可以敲定是中了这类的挖矿病毒,那么既然是在进行挖矿行为,我的CPU和GPU为何性能被占用跑满的原因也就恍然大悟了,真滴太气人了,我这可怜的小旧款商务本做错了什么,你要这么对待比我可怜小本本更加可怜的Nvidia GF 920M!!!
他能跑起来PS,PR和LOL的时候你知道他有多努力了吗?你要挖矿你倒是让那些80Ti的给你挖啊!你写病毒时候都不考虑下先检测显卡型号的吗?!!!为何要如此伤害我的小920M?!!!好气啊!!
好了,发了一会牢骚之后还是得解决现在的问题啊!病毒文件都在哪?怎么清?
于是我接着往下浏览了这篇博客,在评论区中发现了其他用户评论的重要信息!
在此对情报社区的技术大佬们表示感谢!
而这条评论我第一眼注意到的就是MS17_010关键词,显然是跟我中的病毒相关联性很大了,然而我并没有马上去进行操作,而是打开了下面提供的链接。
在此对强大的毒霸安全团队以及微信公众号安全豹表示感谢!
文章链接:https://mp.weixin.qq.com/s/4Q2Z2ryfJbzXQB5xmzM0iA
而关键词永恒之蓝则是让我提起了精神,睁大了眼睛,因为在我的电脑刚刚出现病毒状况的时候,在后台偷跑的进程MS_17_010_Scan.exe就是永恒之蓝的端口扫描进程!!!
而此时我也逐渐明白了,那个时候病毒正在全面的扫描系统的端口漏洞,寻找可以入侵的入口,也就是病毒把电脑变成肉机的准备阶段!!而病毒还有通过网络横向传播的能力,还好此时学校里已经停电我用的手机热点只有我一个人连着,真要是让他传播开来就炸了!
而后面挖矿行为和对抗杀软的描述让我确定了我所中的病毒就是这个最近被发现的 “匿影” 病毒!
然后继续向下浏览,有好多看不懂的技术性词语的描述,不过不重要,能搞清楚现在的状况就可以了。
然后观察这个流程图我们就能找到很多关键信息了,也就是我们准备消灭的病毒文件
svchost.exe
nvidia.exe
taskuost.exe
x64.dll
chrome.exe(tip:流程图里可能写错了,也许是和下面的“chromme.exe”一样的)
lasss.exe
kuaizip.ini
kuaizipUpdateChecker.exe
retboolDriver.sys
chromme.exe
以及启动服务项kuaizipUdate
然后再往下看,我们一向NB哄哄的360大哥和一众国内知名常用的杀软全被这个病毒按地摩擦,这也是我的杀软起不来的原因了。
看上去想指望杀软帮我杀毒有点难了(tip:也许进入安全模式杀软就能查杀掉这个病毒了,但是作为一名极客,并不想轻易依赖自动化的东西,更想自己亲手搞定问题),只好自己手动来了,我就跟着文章下提供的解决方案开始清除病毒。
首先是删掉kuaizipUpdate服务启动项(tip:WIN+R,services.msc),还是头一次删服务项,不会怎么办?百度啊!
于是乎,在此对知名的搜索引擎百度https://www.baidu.com
以及提供百度经验的网友们表示感谢!
话不多说,咱对注册表熟悉,就直接搞注册表,暴力直接,可是删完后服务项里还是有残留,只是他不会再启动运行了,但是看着就不爽,又是百度一下,一条命令,直接删光光,舒服!
接着按照步骤来,但是这里报告中给出的解决操作方案有所差错!!
也有可能每台电脑中毒的情况都有些差别,
可以很清除的看到,我在清除的时候还发现了一个伪装的nvidia.exe文件,然而这并没完,看我选中的文件上面,还有一个伪装成火狐浏览器系统配置文件的flrefoxDriver.sys!!!
而我在这一步操作时居然没有注意到,因为我平时用的最多的就是火狐浏览器,我居然把它当成火狐的相关配置文件了!!!
firefoxDriver.sys——>flrefoxDriver.sys
chrome.exe——>chromme.exe
lsass.exe——>laass.exe
这种文件命名上的混淆伪装有时候是真的容易把人骗到!!!
(tip:而且其中的混淆文件名还有“快压”的拼音拼写,再看这个病毒对国内大众常用杀软的针对性,我严重怀疑这个病毒就算不是国人个人写的也是有国人参与其中编写的)
所以我在这里的建议是将所有的Temp文件夹下的文件全部清除
Temp文件夹存放的都是临时文件,所以没事的,放心删
但是我们并没有在这个目录下找到病毒生成的伪装文件svchost.exe,先留个心眼放一边,然后再进行下一步
来到ProgramData文件夹,看到了一堆眼熟的东西 ,不多墨迹了,赶紧清了,一个不留。
然后来到dll文件夹,我们又看到了眼熟的东西x64.dll,直接全干掉!
本来到这里我以为基本就可以结束了,但是我再次去呼唤360的时候,杀软依旧起不来,我又尝试下载安装电脑管家,ESET,安装过程没问题,结果全都死在了安装完成后的服务启动阶段,重启之后还是这样,这可真是让人头大,然后我又尝试直接去WIN官网下载漏洞补丁,结果安装又出错,安不上,绝望的同时也不服气,又开始重新检查有没有没检查过的位置,漏掉的病毒文件删没删干净,结果居然发现他喵的又出现了,而且删掉就马上又复制出来!!!之前的几个进程又跑了起来,甚至还多了几个没见过的!
在进程中被我发现了一个smyy.exe的诡异进程,报告文章中也没有提到过,于是我就直接整个搜索了一遍C盘,结果发现相关的是一个 .pf 预读文件,我便推测可能现在我没有找出来的那些进程的程序可能是依赖这些预读文件运行的,不过这个想法很可能是错误的,预读文件只是在程序启动时加快启动速度的资料,类似存档一样的东西,并没有主动性,但是我还是直接清空了所有的预读文件。
在删除的过程中还是看到了眼熟的“老熟人”。
当我还在一脸懵逼的想着接下来怎么搞的时候,我顺着一个伪装失败的chromcpu.exe进程找到了一个在ProgramData文件夹下冒出来的a文件夹,(这名字起的够随意的),打开里面的 .bat批处理文件一眼就发现了那个之前在报告中见过的 矿池地址,
很显然这就是挖矿脚本了,就是他们在吃CPU和GPU的性能,获取了有用的信息之后,他们就没用了,直接删除。
但是于3月15号的线索推进也只到这里了,此时已经到了凌晨2点多,电脑早就处于自动关机的边缘,很是郁闷的看着电脑自动关机后也是困的不行了,回到床上睡觉了。
博客写到这里的时候已经是今天的3月17号了,也许是我表达想法思路的时候废话也比较多,昨天并没有写完,哈哈,不过这些确实都是我脑内的想法流程,那么我们继续。
昨天也就是3月16号周六快中午的时候,我才迷迷糊糊的起床准备接着死磕这个病毒,在前一天晚上睡觉前已经在纸上写好了今天准备进行搜查的思路,于是乎,在病毒残留程序依然在不停自我生成,删除不掉的同时还不停的杀死杀软进程,令杀软无法启动的情况下,我决定进入安全模式准备跟病毒背水一战,其实我早就应该进行这一步操作,不过我太过小白,见识太少,小看了编写病毒的大佬的手段,被按地摩擦教育了一波。。。
好了不多说重新整理思路,进入安全模式开机后,我什么都没点,只是坐在电脑前大脑内疯狂的运转从一大堆整理好的信息中搜寻有用的关键词,过了一会之后我顿然醒悟,既然他在不停的杀死杀软的进程,而其他文件被删除掉后也还能被某个藏在某处的病毒残留文件重新生成,那么也就是说这个能杀死杀软进程的程序才是关键!!!
有了突破点那就迅速的定位到我们前面在病毒的文章报告中整理出来的病毒文件名称,针对杀软进程的那个就是retboolDriver.sys,太好了,终于能进行下去了!
于是我马上在C盘中直接全盘搜索这个文件名,看看是不是哪里有遗漏掉没删的文件路径,但是结果令人失望,重复试了几次不同精确度的关键词,并没有找到。
然后我又在百度乱搜了一圈有关服务进程的东西,并没有找到有用的信息,于是我又回到注册表,看看之前删掉的启动项有没有重新创建出来,令人庆幸的是还好没有,这个病毒由于我前一天的一顿狂删,有些功能已经不完整了,此时我突然想起来:注册表也是有搜索功能的啊!!! 我的智商真是令人捉急,拍了拍脑门,直接搜索关键词retbool结果果然有了突破性的发现!
就是这个注册项了!看下他的注册表路径,果然是跟本地的服务进程相关的!
然后我又看到了值里面熟悉的路径,我一脸懵逼的想了想,那个文件不是已经删了么,再次检查的时候他也没再次出现在这个路径下啊?
于是充满疑惑的回到了那个路径下。。。
我TM。。。这就是前文那个步骤中病毒报告提供的解决方案里没有提到的那个被我忽略掉的伪装文件,firefoxDriver.sys——>flrefoxDriver.sys
哎,蛋疼,,,我发现了并去删除了谷歌浏览器的伪装文件,却忽略了火狐浏览器也可能被作为伪装文件!其原因都是自己太过依赖于那篇病毒报告的文章了,都失去了自己的判断能力。
于是开始果断的删除这些残留文件以及继续搜索关键词出现的注册表残留,其中注册表残留还有一些无法删除的项目LEGACY_RETBOOL,不过看了一下发现似乎是用来创建retbool服务进程对象的,我把源文件都删了他也没得创建启动了,也就暂时先不管了。
在搞定这些东西之后,在安全模式下运行起来了360,缓慢的检测了一圈C盘,检测出了那些顽固的病毒文件并且清除掉,然后下载安装了系统安全漏洞补丁,重启电脑回到正常模式,我手心都紧张的捏了一把汗,这次开机要是还是不行,我就真的没有办法了,只能格盘重装系统了,不过还好我们的360,腾讯安全管家,ESET刚开机就全都一股脑的跳出来争先恐后的告诉我电脑的开机时间,一时间我似乎感觉像是好几个背着我出轨的女人回来跟我认错一样,像我这么温柔的人当然是选择卸载她啦,非常轻车熟路的卸载完之后,又打开进程管理器检查了一圈,没有再发现可疑的进程,检查一圈文件路径,没有发现可疑文件,杀软可以正常运行,打开游戏帧数恢复正常,不再出现卡顿,自此病毒算是清除完毕了。
最后要进行的就是端口封闭,阻止这类病毒通过端口漏洞远程入侵,那么怎么操作呢?百度啊!
CMD检查135,137,138,139,445端口是否已开放
如果是LISTENING状态的话,可以通过组策略>创建IP筛选器来封闭端口,具体的操作在这里就不多做赘述了,相关可以查询百度。
病毒表现状态: 每次开机时都会出现窗口C:\Windows\System32\wbem\WMIC.exe执行一段代码一闪而过,电脑在某时刻突然卡顿到鼠标移动时都出现掉帧,3D类游戏运行时帧数远远低于平时状态,CPU性能和GPU性能跑满,但是一旦切出游戏窗口又恢复到较低的占用率,推测是触发了显卡驱动运作时才会启动病毒的使用GPU性能挖矿行为。
病毒服务启动项: kuaizipUpdateChecker
可疑进程名称:
cegacy.exe
chromcpu.exe
chromme.exe
kuaizipUpdateChecker.exe
lasss.exe
laass.exe
MS_17_010_Scan.exe
nvidia.exe
retboolDriver.sys
smyy.exe
x64.dll
可疑文件路径:
C:\Windows\Temp全部清空
C:\ProgramData除文件夹外的零散文件全部清除
C:\ProgramData\Microsoft除文件夹外的零散文件全部清除
删除C:\ProgramData\storage目录
删除C:\ProgramData\Resources目录
删除C:\ProgramData\a目录
删除C:\ProgramData\dll目录
C:\Documents and Settings\Public删除目录下所有可疑的零散文件及文件夹
删除C:\Users\Administrator\AppData\Roaming\以本计算机名命名的.vbs脚本
删除C:\Users\Administrator\AppData\Roaming\以本计算机名命名的目录
注册表检查路径:
自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceEx
服务启动项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\retbool
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\retbool
漏洞修补,端口封闭:
使用杀软修补系统安全漏洞
组策略封闭135,137,138,139,445端口
本次手动杀毒共历时两个晚上,病毒潜伏期长达一周,杀软全部崩掉是我长这么大也是头一次见到这么厉害的场景,在排查可疑文件的时候翻到一个python写的脚本,应该是用来给他回传用来监控的数据的,里面的第一行注释在我费劲的挪着光标穿过了一大长串的星号后看到的文字简直就是在嘲讽我,英文翻译过来就是“不要删掉这个,会失去连接的!”我TM。。。
总之技术到用时方恨菜,看看这个病毒,轻车熟路的C++,操作系统调度的精湛理解,win 进程操控注入的信手拈来,端口漏洞远程代码自动执行,自我程序的隐藏和保护,直接秒杀一众杀软的霸气,多种手段的横向传播,声东击西的vbs脚本,掌控数据的python程序,不停变换的矿池地址,全自动零成本的僵尸挖矿,天马行空的创意想法,细思极恐的行动创造力,账户上疯涨的黑金,相比之下我可真是个渣渣,真的见识到那句话的含义了“人外有人,天外有天”,现在就是后悔啊,后悔平时贪玩没死磕钻研技术,真滴后悔? ? ?
这病毒潜伏期长不易察觉,发作时如果硬件够好的只能感觉到有点卡,只有玩游戏掉帧时候才会发现出毛病了,但是一般情况此时大家肯定是先去怀疑显卡是不是出问题了,从而在信息搜寻的最开始就找错了方向,这就是这个病毒瓜皮的地方了,感觉最近又要肆虐起来,希望大家不要跟我一样中招,总之大家都长点心吧,那么一大堆网站的软件下载链接都被重定向到哪去了?下个小工具给我搞个瓜皮病毒出来?蓝瘦。。。(tip:现在的套路已经换了,以后所有的打开后看到有一堆广告安装界面的程序一律都不要安装,上面即使去掉广告的勾选里面准备安装的程序也不是你想要的,马上删除!)
我这个技术小白对于博客的撰写或是对病毒的排查还都处于新手阶段,在记录杀毒过程的时候我也许还有些遗漏的地方,这篇博客的内容或许也有纰漏和错误的地方,希望有大佬能够看到这篇博客提出建议或是指出错误。
在最后对我本次手动杀毒过程提供了各种资料的各大网站和博客文章及其作者们表示衷心的感谢,感谢大家对网络安全防护做出的贡献,让我们共同进步,学无止境!