這是個(gè)利用ANI漏洞傳播的木馬群，其“動(dòng)態(tài)插入進(jìn)程”的功能是導(dǎo)致中招后殺毒困難的原因之一。

另：中招后，系統(tǒng)分區(qū)以外的.exe全被感染。這也是中此毒后的麻煩之處。

中招后的“癥狀”：進(jìn)程列表中可見shualai.exe進(jìn)程。

建議：用SRENG掃份日志保存，以便弄清基本情況，便于后面的手工殺毒操作。


手工查殺流程如下（用IceSword操作）：

1、禁止進(jìn)程創(chuàng)建。

2、根據(jù)SRENG日志，先結(jié)束病毒進(jìn)程shualai.exe以及所有被病毒模塊插入的進(jìn)程（病毒插入了哪些進(jìn)程，取決于你當(dāng)時(shí)運(yùn)行的程序。以下是我運(yùn)行該樣本后的例子。）


Code:
[PID: 484][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]

[PID: 2252][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]

[PID: 3880][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2760][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2548][C:\windows\shualai.exe] [N/A, N/A]


3、刪除病毒文件；清空IE臨時(shí)文件夾。


4、刪除病毒啟動(dòng)項(xiàng)


考慮一種特殊情況：

如果有人將autoruns等工具放在了系統(tǒng)分區(qū)以外，此時(shí)運(yùn)行autoruns————麻煩大了??！————中此毒后，系統(tǒng)分區(qū)以外的.exe全被感染。

5、取消IceSword的“禁止進(jìn)程創(chuàng)建”。

6、修復(fù)hosts文件。

注：系統(tǒng)分區(qū)以外的那些被病毒感染的.exe——估計(jì)是沒救了。