刚才中了个 irjit.dll木马
(yanlb2000, 2006.05.18, yanlb2000.blogcn.com)
今天开机,注意了一下进程列表(用Process Explorer, 简称PE),果然发现了个陌生的进程。
为什么要特意看一下进程列表呢?因为昨天,我发现平时用来下载的目录里有个fangdown.exe的文件。不记得什么时候下载过这个文件,觉得好奇。虽然我从来不装杀毒软件和防火墙,但我还是想运行试试看。就算不是好东西,我也不信能把我电脑怎么样。
双击运行,什么反应也没有!没有任何窗口出现!顿时觉得可能真有问题。于是将PE调到前台,再次运行这个程序,发现该程序居然生成了一些临时文件,而且调用了Windows Installer。然后所有进程消失。用Autoruns一查,发现注册表启动项中多了一项,指向我的%CommonProgramFiles%UPDATupdate.exe。这显然不是什么好东西,于是将这些注册表项和文件统统删除。看看进程列表中没什么可疑进程。时间也比较晚了,就关机了。但记得下次开机要看看有什么不正常的。
今天开机看进程列表,发现在service.exe下面,挂着(启动)的多个服务中,出现了个从来没有的rundll32.exe,并由这个进程启动了一个irjit.dll。这是个什么东西?该文件位于%windir%system32wbem目录,这是个正常的Windows目录呀。再看文件版本属性,赫然写着"Microsoft irJIT Module","(C) Microsoft Corporation. All rights reserved."。这是微软自己的?我强烈怀疑。因为,该文件时间属性明显与同目录下其他文件不同;其次,我以前在进程列表中从来没见过这个服务进程。当然,我也不能判定,这个文件和昨天运行的那个fangdang.exe有什么关系。
干脆,上网google一下吧。结果出来了,果然是个木马,网上已经有很多讨论了。网上对这个文件基本上有这样的一些信息:
·是个木马无疑;
·尚不清楚对系统有多大危害
·要启动到F8安全模式,然后删文件,删注册表中所有相关irjit.dll的项目。
那就杀吧。我嫌启动到安全模式太麻烦。试试直接杀。用PE直接杀掉那个Rundll32.exe,然后移除这个irjit.dll文件。没错,我是移动了,难得中次毒,还想研究一下呢,不忍心直接删除。然后回到原目录一看,哦,那个文件居然还在!看来这个木马毕竟不是菜鸟级别的,没这么容易干掉呀。
这下不客气了,反正样本已经保留,所以试试直接删除。这次Windows报错了,说文件使用中,无法删除。显然,内存中还有木马进程。
还是打开PE,进程列表中那个Rundll32.exe已经没有了。那会是哪个进程调用了木马呢?使用PE的"Find Handle or DLL"功能,输入查找对象irjit.dll,马上找到了,宿主进程是explorer.exe,这就是显示桌面的那个进程呀!这或许就是网上文章说的要启动到安全模式的原因吧?在安全模式,explorer.exe不会调用这些附加DLL。
没关系,我还是直接杀。用PE直接Kill掉了这个explorer.exe进程。一下子屏幕就"清爽"了,背景没了,桌面图标没了,启动菜单、托盘等等全没了。然后用PowerDesk,顺利删除irjit.dll。(我不是特地用这个PowerDesk的,我从来就是用这个代替Windows Explorer资源管理器的。)
然后,用PE的Run功能,运行explorer.exe,桌面就回来了。
再接着,运行regedit.exe,注册表编辑器,将有关irjit.dll的表项全部删除。
最后试着重启一次,已经没有那个进程和相关文件了。至此,木马被成功删除。
一些心得:
·杀毒软件、防火墙之类,的确可以不装,对我来说就是多余。不装这些东西,就避免了大量系统资源的消耗,特别是避免了实时检测扫描功能,系统反应速度比装了杀毒软件快很多。
·不装杀毒软件了,就要自己经常注意系统有什么不正常的;特别是要留意进程列表、系统启动项目。
一旦发现中毒中木马,要能够马上清除。一般来说,就是先杀相关进程,然后删病毒木马文件,删注册表中的服务、自启动项目、挂在资源管理器和浏览器中的附加DLL等。并要反复检验,务求彻底杀干净,防止有的病毒在内存中有多个进程,它们可能实时监视对方进程,互相保护,互相恢复。
·推荐一些我认为比较好的工具:Process Explorer, Autoruns, Rootkit Revealer, Regedit注册表编辑器。其中前3个工具都可以从http://www.sysinternals.com/下载到。
不装杀毒软件和防火墙,或者是很穷买不起,或者比较愚昧。