FUCKJACKS.EXE!!!介绍以及解决方法和亲身经历

  以下是在PowerShadow的Full Shadow模式下观察这个木马的结果及手工杀毒流程（由于我的SSM设置为“启动加载”，所以还有还手的机会。染毒后才运行SSM，是否还有这样的机会――我不清楚）。一、运行Dd11.exe后释放/下载的文件：在C:\windows\system32\下释放/下载FuckJacks.exe和msvce32.exe。在windows文件夹中释放（下载）1.exe。在其它分区根目录下释放autorun.inf和Setup.exe并试图改写.exe文件（由于Tiny的文件保护而未得逞）。二、其它恶意行为：反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项并结束这些程序的进程；重写病毒自己的加载项。终止IceSword进程。结束FuckJacks.exe进程前，IceSword不能运行（IceSword被关闭的机制见15楼附图）。试图结束SSM进程，但未得逞（看来病毒作者还没研究透SSM）。三、注册表改动：在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支添加：
svohost（指向C:\windows\system32\FuckJacks.exe）在HKCU\Software\Microsoft\Windows\CurrentVersion\Run分支添加：
FuckJacks （指向C:\windows\system32\FuckJacks.exe）在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe"添加：
C:\windows\system32\msvce32.exe
四、我的杀毒流程：
1、用SSM禁止FuckJacks.exe运行。
2、开启IceSword。用IceSword删除C:\windows\system32\FuckJacks.exe。关闭IceSword。自己动手删除C:\windows\1.exe、C:\windows\system32\msvce32.exe以及其它分区根目录下的autorun.inf、Setup.exe。其它被感染的.exe中的病毒代码能否被杀软“清除”――不得而知。如果不能，只好删除。
3、清理注册表：展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
删除：svohost（指向C:\windows\system32\FuckJacks.exe）

展开HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
删除：FuckJacks（指向C:\windows\system32\FuckJacks.exe）
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除"Shell"="Explorer.exe,C:\windows\system32\msvce32.exe"中的C:\windows\system32\msvce32.exe。
4、备份杀软病毒库。重新安装杀毒软件。重装杀软后，导入病毒库备份。可以免去病毒库升级。【注】：其他网友说的“FuckJacks.exe删除.GHO文件”，我没观察到。Full Shadow模式下再次染毒后，我曾看过我的GHOST备份――完整无损。我的Tiny“文件保护”中设置了GHOST备份文件夹的保护监控，允许删除文件，但Tiny监控提示并记录文件被删除。

 

亲身经历：

时间： 2006年11月13号 早上10点左右  

地点：公司内部

经过：

1.刚开始是我公司一同事出现状况，MSN会自动弹出消息给别人。消息内容如下：
//[  ｶﾔﾁﾋ,ﾌﾚﾑｶﾗ��ﾂﾂｩｶｴｿﾉﾒﾔﾃ�ﾑｵﾃｵｽQｱﾒｺﾍQQﾐ・ｸﾏｿ・��ﾟｸ・倏馄ﾑ! [url]http://www.krvkr.com[/url]和 ]//
2.消息传送给2个人，2人打开网站后，就出现中木马现象。
3.现象为：
1）进程管理器出现2个不明进程：均为 fuckjacks.exe
2）fuckjacks.exe 无法结束进程
3）fuckjacks.exe占用CPU一直在96%以上
4）莫名其妙会弹出许多进程（也可能是其他原因）
5）在所有本地磁盘下生成病毒关联文件setup.exe，普遍在E盘本地文件被感染后，图标变成熊猫。。。。（公司内部情况）
6）用《瑞星正版》杀毒，毫无反映！！！
4.由于公司内部共享文件，以及文件传输造成此木马的疯狂传播。
5.木马出现后，装有 EWIDO 和卡巴的机器，发现木马并杀除后系统正常。
6.其他只装有《瑞星正版》的机器，经过3个多小时的杀毒，一无所获。
7.最后每个机器装 EWIDO 或者卡巴进行双杀，一切恢复正常。

结论：
瑞星。。。。真的，没话说了。上次的威金，让我放弃了《正版瑞星》。结果这次fuckjacks，让全公司的人都放弃了《正版瑞星》。