相信有许多朋友都在玩QQ炫舞这款游戏吧?在游戏中,随着等级的升高,任务的难度也会越来越大,记得曾有个任务竟然要求连7个P!于是乎,外挂就成了大家心照不宣的秘密。随着需求量的飙升,一些人在制作或破解外挂的过程中就开始动起了歪脑筋……
话说我的一位同学某日下载了一个名为“完美”的外挂,结果刚一运行计算机就中毒了,最后只得动用一键还原精灵。什么病毒居然这么厉害?好奇之余我就向他要来了样本,开始了这次测试。
禁用掉NOD32的实时监控后运行外挂程序,系统一下子慢了下来,后台360和NOD32的图标都不见了,弹出了一个窗口,提示某个文件错误。
毫无疑问,中病毒了,先使用360安全卫士试试,但遗憾的是,360根本就打不开。遥想当年的AV终结者病毒,难道是镜像劫持?打开注册表,在“HKEYLOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”下,我果然发现了猫腻。
将“Image File Execution Options”项删除后,360就可以正常打开了,但还没呆上10秒钟,就再次被关闭了。肯定是病毒进程在作怪,可是使用冰刃查看了半天,也没有发现可疑进程。看来,只能另寻他径了。360的主文件是360safe.exe,转到360所在的文件夹,无论是将其改名还是复制都被拒绝,那该怎么办呢?我们直接复制整个360所在的文件夹好了,这回成功了。进去后,将360safe.exe改名为a.com,然后运行,熟悉的界面终于又出来了,而且也不会再被关闭了。接着点击“查杀流行木马”选项,查杀病毒吧。
重启计算机后,360和NOD32的后台图标又回来了,本以为这样就结束了,但事实上却远远还没完。启动NOD32对系统进行彻底的查杀,结果很快就感觉到了不对劲的地方:病毒是越杀越多!糟了,看来这回是遇到了感染型的病毒。
能不能尝试还原被感染的文件呢?我们从NOD32的隔离区隧便复制出2个文件进行测试,我选择的是bugreport.exe(百度Hi的错误汇报程序)和ProxyThorn.exe(花刺代理软件)。使用PEID查壳,发现是未知壳,但它们的区段名却是相同的,不用说,肯定是病毒的杰作了。一般来说,感染型病毒都是通过附加数据植入正常文件的,但这个病毒却有点特殊,因为使用PEID的Ovcrlay插件没有检测出附加数据。
我硬着头皮使用OD载入带毒的花刺,按F8单步跟进,发现右面的“ESP 0012FFCO”一项变红,应用ESP定律,在下面的命令框中输入“hr 0012FFCO”,再按F9,使程序运行。
接下来一直按F8单步走,直到0047605E,发现这是一个向上的跳转,按照经典手动脱壳教程的思路是在下一行,即00476060处按F4跟进,但这样的话程序就跑飞了。我们观察一下代码,下一行00476063似乎是一个很大的跳转,跳到哪里去呢?选中这一行按回车,发现来到了00476182,看代码,似乎又是一个很大的跳转,接着再按回车,大家看到了什么?对,这就是传说中的OEP,还等什么,转储吧。
接着使用NOD32扫描脱壳后的文件,已经不报病毒了。打开试试,花刺代理能正常运行。至此,对这个病毒的围歼战就基本结束了,但损失也挺惨重的,只能去重做系统了。所以,以后大家在测试病毒的时候请尽量在虚拟机中进行。另外,也请不要过分迷信所谓的“经典教程”,毕竟,灵活变通才是解决问题的关键!