[转帖]详谈IGM病毒
====剑盟幕后黑手原创,转载请保留此行信息====
(本文针对网吧以及其他局域网用户)
真是网吧的又一场浩劫,继ARP之后,今年下半年先是以“机器狗”带头,刮起一阵病毒旋风。
有关机器狗的详细情况,论坛里有许多高手做出了分析和清除方法,本文仅谈 IGM.exe
IGM病毒中招后的现象:
大量占用网络资源,网速奇卡,造成拥塞导致掉线。
IE,QQ等应用程序打开后就自动关闭。
运行msconfig,发现启动项目里多出一个igm.exe
CPU使用率100%100,多出N多可疑进程,例如:a.exe cmd.exe 23.exe…………
最恶心的是新出的变种,替换C盘的userinit.exe,大家都知道网吧里都有还原装置,要么是冰点,要么是还原卡,可是他的厉害之处类似机器狗,穿透还原,更改userinit.exe
IGM病毒动作,运行原理
通过一些问题网站下载,机器狗病毒。 机器狗病毒通过磁盘驱动,穿透还原替换原userinit.exe,(替换后userinit.exe就是个木马下载器也就是通过它下载的IGM.exe)在中毒机器重起后开机后系统会自动启动userinit.exe文件这时候下载各种木马包括IGM.exe.
通过修改注册表达到自动启动的目的,启动后生成以下病毒进程。
c:\WINDOWS\IGW.exe
c:\WINDOWS\AVPSrv.exe
c:\WINDOWS\DiskMan32.exe
c:\WINDOWS\IGM.exe
c:\WINDOWS\Kvsc3.exe
c:\WINDOWS\lqvytv.exe
c:\WINDOWS\MsIMMs32.exe
c:\WINDOWS\system32\3CEBCAF.EXE
c:\WINDOWS\system32\a.exe
c:\WINDOWS\upxdnd.exe
c:\WINDOWS\WinForm.exe
c:\WINDOWS\system32\rsjzbpm.dll
c:\WINDOWS\system32\racvsvc.exe
c:\WINDOWS\dbghlp32.exe
c:\WINDOWS\nvdispdrv.exe
c:\WINDOWS\system32\cmdbcs.dll
c:\WINDOWS\system32\dbghlp32.dll
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\system32\yfmtdiouaf.dll
userinit.exe 下载木马IP都是 浙江省绍兴市 电信IDC机房,
有 60.190.203.150,59.34.198.103 ,60.190.222.235
重点介绍解决办法:
如果是是网吧,而且硬盘分区格式是NTFS,用的是上海维图的转转游戏更新系统,那么恭喜你,你只要保证服务器上的userinit.exe 没有被病毒感染,就没有问题,在服务端的配置文件里设置客户机开机自动把服务器上的userinit.exe 复制到c:\windows\system32 下。把修改过的hosts 文件覆盖到本地到c:\windows\system32\drivers\etc\下,把病毒进程列表添加到禁止运行列表。
如果硬盘分区格式是FAT32,因为转转更新系统不能直接转储C盘文件,所以要拷贝新的userinit文件,请自己编辑批处理,把以下内容加到第一行里边(路径自己改)
copy d:\病毒预防\userinit.exe c:\windows\system32
如果用的不是转转更新系统,就要麻烦一点,先将所有设备断电重起,观察有没有穿透现象,客户机的userinit.exe如果如图,那说明没有被穿透,如果被修改,比如大小改变,版本信息不正确,那就把感染的userinit.exe删除,复制一个干净的来。
正常的userinit.exe:
删除启动项目里的不正常项目(如果你是负责你那个局域网,想必一定知道哪些是正常哪些是不正常)
正常的userinit.exe:
下面是重点:
进路由,屏蔽以下网站和域名:(下面这个列表,是以TP-LINK路由器为例的,其他牌子和型号的路由器显示的界面和使用方法不一样,具体请看说明书)
ID 生效时间 域 名 状 态 配 置
1 0000-2400 t.11se.com 生效 编辑 删除
2 0000-2400 www.94ak,com 生效 编辑 删除
3 0000-2400 www.99mmm,com 生效 编辑 删除 (为了避免会员误点,我把.com之前的.改成,了)
4 0000-2400 ask.35832.com 生效 编辑 删除
5 0000-2400 www.35832,com 生效 编辑 删除
6 0000-2400 www.15197,com 生效 编辑 删除
7 0000-2400 www.91ni,com 生效 编辑 删除
8 0000-2400 www.161816,com 生效 编辑 删除
如果你用的是软路由,添加以下脚本:(这个脚本是以ROS为例。没办法,手上兼职的网吧只有这么几个,本文只能对硬路由TP-LINK和软路由ROS做出实战讲解,有其他型号的朋友,可以把配置方法发给我,我补充。)
ROS脚本:
/ ip firewall filter
add chain=forward content=t.11se.com action=reject
add chain=forward content=www.94ak.com action=reject
add chain=forward content=www.99mmm.com action=reject
add chain=forward content=ask.35832.com action=reject
add chain=forward content=www.35832.com action=reject
add chain=forward content=832823.cn action=reject
add chain=forward dst-address=212.22.225.82/32 action=drop
add chain=forward dst-address=203.174.87.210/32 action=drop
add chain=forward dst-address=64.233.167.99/32 action=drop
add chain=forward dst-address=58.211.79.107/32 action=drop
add chain=forward dst-address=219.153.42.98/32 action=drop
add chain=forward dst-address=221.130.191.207/32 action=drop
把以下进程列入危险进程:
c:\WINDOWS\IGW.exe(新变种)
c:\WINDOWS\AVPSrv.exe
c:\WINDOWS\DiskMan32.exe
c:\WINDOWS\IGM.exe
c:\WINDOWS\Kvsc3.exe
c:\WINDOWS\lqvytv.exe
c:\WINDOWS\MsIMMs32.exe
c:\WINDOWS\system32\3CEBCAF.EXE
c:\WINDOWS\system32\a.exe
c:\WINDOWS\upxdnd.exe
c:\WINDOWS\WinForm.exe
c:\WINDOWS\system32\rsjzbpm.dll
c:\WINDOWS\system32\racvsvc.exe
c:\WINDOWS\dbghlp32.exe
c:\WINDOWS\nvdispdrv.exe
c:\WINDOWS\system32\cmdbcs.dll
c:\WINDOWS\system32\dbghlp32.dll
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\system32\yfmtdiouaf.dll
注:可以编辑批处理放在服务器上共享,客户机远程调用。要不然一台一台的不把人累死。
这里推荐一款软件:ARP保护神2.1,使用方法超简单,里面有个配置文件可以把病毒进程列在里面,附件我上传上来。
附件里的批处理,VBS,HOSTS文件,都是我根据我这里的情况编写的,有用的上的朋友请不要原搬照抄,否则发生意外概不负责,自己把路径改成你需要的就行了。
到此,功德圆满,赶紧养精蓄锐,等待下一次变种。
====剑盟幕后黑手原创,转载请保留此行信息====
附件: 您所在的用户组无法下载或查看附件
