删除netdde32!劫持浏览器下载流氓软件。

6月30日晚,在家用电脑看电影。看完电影后,感觉电脑有点慢,便热重启。没想到,噩梦就此开始。
重启后,电脑巨卡无比,在任务栏上出现一个奇怪的图标,名称为loging(好像是这个)。
感觉事情不对,CTRL+ALT+DEL调出任务管理器。一分钟后,任务管理器才像舞台拉幕般缓缓出现在桌面上。
在进程里看到许多陌生的执行程序,bind_50201.exe,bind_50099.exe,***setup.exe等等。意识到是中了流氓软件。
紧接着,卡巴斯基开始报告有木马程序和广告程序,可是提示用户处理的窗口却会自动关闭,而且似乎选择的都是跳过或者允许。于是屏幕的右下角开始不停闪烁着卡巴斯基的报告。
初步判断木马有屏蔽杀毒软件的功能。
十分钟后,电脑速度恢复正常,打开超级兔子,发现已经被安装了NewAdPopup(新广告弹窗),searchchsite_pg(搜索中文站点)等等广告和流氓软件。打开控制面板,发现安装了CNNIC中文官方上网助手。
先用用程序自带的卸载软件删除CNNIC,然后是用超级兔子进行清理。
清理完成后,打开卡巴斯基,查看被感染的文件报告,选择全部处理,弹出的选择对话框全部被自动关闭。
一定是木马做的祟,幸好可以邮件单击被感染的文件列表进行删除。
所有威胁处理完后,电脑竟然自动重启?!
重启后,EXPLORER加载错误,出现一个DOS窗口,标题为netdde32,和一个错误对话框,写着:
CPU命令错误,后面是一行十六进制码
CTRL+ALT+DEL调出任务管理器,重新加载explorer,依旧报错。
用任务管理器打开IE,想上网查查,可是确无法连接网络。想到原来还没有拨号。
于是又用任务管理器打开拨号连接。
打开QQ,刚开始以为是explorer.exe损坏,向同学要了一个复制到windows目录下,仍然不能运行。
在baidu里搜索netddr32得到以下结果:

文件运行后
释放如下文件
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\system32\netdde32.exe

试图向带有下列字符的窗口发送允许或者跳过的信息
注册表警告
金山毒霸 – 可疑文件扫描工具
mcafee personal firewall plus 警报
virusscan 按访问扫描消息
瑞星注册表监控提示
[color=#FF0000]*注1[/color]

添加 IFEO劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:
“C:\WINDOWS\system32\netdde32.exe”

无其他自启动项目

C:\WINDOWS\KB9269O9.log注入到Explorer进程中
监控HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger: “C:\WINDOWS\system32\netdde32.exe”
如果一旦被删除 则立即恢复

控制IE连接网络218.93.16.65:80
下载http://up.xxxxd.cn/software/update.txt获取文件下载地址
通过http://up.xxxxd.cn/software/netdde32.exe更新自身
下载http://up.xxxxd.cn/software/QQIEHelper.dll
http://up.xxxxd.cn/software/d039.exe到系统文件夹

d039.exe是一个多个流氓软件的安装包
包括搜狗直通车、CNNIC中文上网等

http://up.xxxxd.cn/software/QQIEHelper.dll是IE插件
插入IE
使IE不断读取http://sm.xxxxd.cn/data/adurllist.ini这个文件里面的内容(一些网址)
[color=#FF0000]*注2[/color]
用于弹出网页

机器启动后,由于explorer被劫持
所以首先启动netdde32.exe
由他把KB9269O9.log注入到Explorer进程中
再由netdde32.exe启动Explorer
此后netdde32.exe的工作即告完成

所有木马植入完毕后
增加如下文件
C:\WINDOWS\system32\netdde32.exe
C:\WINDOWS\d039.exe
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\netdde32.exe
C:\WINDOWS\QQIEHelper.dll
C:\Program Files\Common Files\CPUSH
被安装了搜狗直通车和CNNIC中文上网插件

sreng日志如下[color=#FF0000]*注3[/color]
浏览器加载项
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}
进程
[PID: 1540]
[C:\WINDOWS\Explorer.EXE]
[Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)][C:\WINDOWS\KB9269O9.log]
[N/A, ]

解决方法:

问题:
木马劫持了Explorer
而且发现那个C:\WINDOWS\KB9269O9.log会时刻监视被劫持的IFEO项目

考虑出两种解决方法
一种是结束explorer
删除C:\WINDOWS\system32\netdde32.exe和C:\WINDOWS\KB9269O9.log
重启按ctrl+alt+del进入注册表
恢复IFEO

不过感觉那个IFEO的注册表键太长了 重启以后还得一通狂找,所以推荐下面的方法

还是用Process explorer
下载地址:
http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.html

1.双击我的电脑,工具,文件夹选项,查看,单击选取”显示隐藏文件或文件夹” 并清除”隐藏受保护的操作系统文件(推荐)”前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\netdde32.exe

2.打开Process explorer
双击Explorer进程
单击 Threads
找到KB9269O9.log
分别选中Threads中的各个KB9269O9.log 单击下面的suspend
直到选中每个KB9269O9.log时 原先那个suspend都变成了resume
不要关闭process explorer

3.恢复IFEO
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
打开这个软件后 找到Image hijack (映像劫持)
删除
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger: “C:\WINDOWS\system32\netdde32.exe”
4.打开任务管理器
结束Explorer进程
单击任务管理器
上方菜单栏的文件-新建任务-浏览
找到C:\WINDOWS\KB9269O9.log
右键将其删除
至此,主程序netdde32.exe已经被干掉了

下面收拾其他的木马和流氓软件

重启计算机进入安全模式(开机后不断按F8键,然后出来一个高级菜单,选择第一项,安全模式,进入系统)
打开sreng
在“系统修复”-“浏览器加载项”中删除
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}

删除文件
C:\Program Files\Common Files\CPUSH
C:\WINDOWS\QQIEHelper.dll

重启后下载卡卡安全助手或者金山的毒霸清理专家
清理剩余的CNNIC等流氓软件

[b]PenguinOL:
*注1:卡巴斯基的安全警报和处理窗口也会被强制关闭
*注2:这里主要发现的一个弹出网站就是
www.myad.cn
www.cayi8.com
对以这种宣传方式,个人感到不耻,对这个网站作者的道德及网站自身素质不敢认同
建议大家屏蔽*.cayi8.com和*.myad.cn
*注3:
SREng,全名System Repair Engineer(SREng):一般翻译为系统修复工程师,是世界上最先进的系统辅助分析工具之一。
他的日志比hiJakcthis的更全(体现在hijackthis会遗漏一些启动项)
另外,SREng的日志能提供更详细的诊断信息,方便清除QQ尾巴等顽固病毒。
您可以在http://www.kztechs.com/sreng/download.html下载到简体中文版。
[/b]

另外一个网站对此木马的叙述:

Win32.Hack.Unknown.57080(netdde32.exe KB9269O6.log)
病毒名称:N/A(Kaspersky)
病毒别名:Win32.Hack.Unknown.57080(毒霸)
病毒大小:57,080 字节
样本MD5:7ddf93d94030c98f0c0807f748f2a5e5
样本SHA1:0f35c0074c770c18654203c3179655d3e9d8835b
发现时间:2007.5
更新时间:2007.5
关联病毒:
传播方式:恶意网页、程序捆绑、其它病毒或木马下载
技术分析
这是一个下载广告程序的木马,运行后复制自身到系统目录:
%System%\netdde32.exe
释放dll注入进程:
%Windows%\KB9269O6.log
创建映像劫持:  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
“Debugger”=”%System%\netdde32.exe”
并监视恢复。
尝试访问网络下载广告程序并安装。
==========
清除步骤

1. 重命名木马文件:
%System%\netdde32.exe
%Windows%\KB9269O6.log
2. 复制一份%Windows%\Explorer.exe,并将复制的Explorer.exe重命名为netdde32.exe存放到%System%目录中
3. 重新启动计算机
4. 删除重命名过的木马文件:
%System%\netdde32.exe
%Windows%\KB9269O6.log
5. 删除新建的%System%\netdde32.exe
6. 删除木马创建的映像劫持
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
“Debugger”=”%System%\netdde32.exe”

根据地一种方法处理病毒,可是却发现explorer根本打不开,也就无法删除注入的内容了。
于是专用第二种方法。
在regedit(注册表编辑器)中查找netdde32,找到后删除。
删除C:\WINDOWS\system32\netdde32.exe
重新加载explorer,提示调试错误,找不到netdde32,explorer仍然无法启动。
于是用从朋友那拿来的explorer.exe复制到C:\WINDOWS\system32
[b]*注:因为资源管理器无法启动,所以只能用QQ上传文件的选择文件对话框代替。
当然其他软件的选择文件对话框都可以代替。期间试过用winrar,可惜winrar不支持复制粘帖。[/b]
复制完成后再次尝试加载explorer,却出现一个下载询问窗口,询问是否要下载explorer.exe。
晕死,点击运行,继续出现相同窗口。(进入死循环了。)
只能继续删除
C:\WINDOWS\KB926906.log
再次加载explorer,加载成功。
没想到再次巨卡,刚删掉的东西全都回来了。
[img]attachment/1183226254_0.png[/img]
[img]attachment/1183226254_1.png[/img]
卡巴斯基又开始报木马,不过这次窗口没有被强制关闭。用卡巴斯基扫描关键区,找出14个木马和广告程序。
IE又开始弹caiyi8的广告。
当场晕厥。
重复第一个方法继续杀毒,终于解决了这个难缠的木马。

同时还在启动项里发现一个奇怪的加载项Syserver
上网查询得到一下结果:

病毒分类:windows下的pe病毒
病毒名称:trojan.syserver
行为类型:windows下的木马程序
病毒发作:
此病毒启动后将自己拷贝到system32目录下
修改注册表的hkey_local_machine\software\microsoft\windows\currentversion\run
在其中添加一项 syserver 以达到自启动的目的.

处理办法,在注册表内搜索syserver并删除相应键值。
删除system32目录下的syserver.exe

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注