惨痛遭遇keylogger、手工清除实录及反思(转寄)

发信人: Godman (天地通★力口弓虽禾口讠皆衤皮言吴伤), 信区: Virus
标 题: 惨痛遭遇keylogger、手工清除实录及反思
发信站: 水木社区 (Thu Oct 25 10:29:25 2007), 站内

惨痛遭遇keylogger、手工清除实录及反思
10/24/2007 7:22PM

昨天开始 Maxthon2用得不正常了。
具体现象是：重启后首次可以运行Maxthon2，之后就再运行就是闪一下然后退出。
机器启动之后还是重复同样的问题。

开始怀疑是 maxthon2　的bug，就又去官方网站下载了，安装之后还是不行。
好在我的Opera, IE, Firefox　都能用，我就暂时先用着。

从昨天到今天中间，曾经死过几个程序，我没有非常在意，
只是用任务管理器看了系统进程，没发现任何异常的。
又用 SRENG扫描，粗略看了一下扫描log，没发现什么异常情况

今天突然弹出一个对话框，说"system32oqjt.exe"出错，需要关闭。
我看这名字就觉得有问题，赶快去 windows目录下搜索，看见了下面这些东西
system32OQJT.001
system32OQJT.002
system32OQJT.003
system32OQJT.exe
system32OQJT.002.tmp
system32OQJT.006.tmp
system32OQJT.009.tmp

心里不由得暗暗叫苦。

先查看那些 .00n　的文件，都是二进制，不明白。
再看了看那几个 tmp　文件，让我大吃一惊：
有个文件我的 IE, Firefox的 Web浏览记录，包括　URL　和键盘输入等等
另外一个，是看见了熟悉的Cterm　来水木的的所有的 键盘输入等等

当时脑袋立马就大了，第一件事情是先 disable 无线网卡，切断网络。
然后坐下来，慢慢找问题。

这次又用Sreng看了一下 ，终于发现了 system32oqjt　的东西。
回头看任务管理器，还是没有 system32oqjt　的东西；
看样子这个 keylogger 搞了进程隐藏，所以直接在任务管理器看不到；
（之后又去看昨天sreng的log，搜到了system32oqjt。不过昨天看log不够仔细，漏了）

上网google搜索了一下　system32oqjt，只有两个网站提到这个　system32oqjt
一个巴西网站在10/12有帖子（葡萄牙语），另一个德国网站在 10/9日有提到（德语）
但是两个网站都没有说这个 system32oqjt　有问题，看来这个 keylloger　还比较新。
(百度搜索不到system32oqjt)

我原以为这个 keylogger　搞了进程隐藏这些高深技术，还怕它也搞了好多反删除的东西
结果就把那些 system32OQJT 全删除就得了，系统启动也正常了，Maxthon2也正常了。
再用 sreng　查也就有个link（可能是插入进程的），但是硬盘已经没实质的病毒文件了。
这个keylogger怎么混到windows里面自启动的，我还没去仔细看，后面再去清理；

现在回忆反思一下中招过程：

昨天我的 smartftp突然不能用了，于是上emule下载了个破解版本
（emule里面名字：SmartFTP Client (32-bit) 2.5.1006.3 crack.rar）。
下载之后，看见里面一个安装文件、一个.nfo文件，还有一个 crack.exe。
当时看到这个crack.exe是500K就有一丝纳闷，因为一般补丁程序大小也就20-30k。
心想可能是发布0day的人搞错了，这500k文件是crack之后的文件，要覆盖原执行文件；

按照我一般习惯，不认识的软件应该在影子系统里面先运行的；
不过当时着急下载，所以安装完就直接运行了这个crack.exe。

运行crack.exe之后，任何东西都没有，我当时心里就起警觉了。
立刻查看了任务管理器的进程，没有发现异常；（现在明白了，它做了进程隐藏）
当时还下载了另一个 smartftp，这个不行就换另一个了，
也就没再深究这个异常的 crack.exe。
于是，这个 keylogger从此就一直挂在我的机器上，
直到1天多之后 system32oqjt.exe 程序出错的对话框再次让我警觉并且发现了它的存在。

后来我回到那个巴西网站和德国网站，那些人贴的log里面都有 smartftp，
看来都是中了同样的的招……
keylloger软件伪装成其它名字，和其它软件放在一起，通过非正常下载渠道流通传播。

这里我再给大家说说影子系统的好处（虽然影子系统根本不能用来对付 keylogger）。

一般对于不认识但又必须运行的软件，都是放在影子系统里面运行。
（有必要时候还要启动SSM－System Safety Monitor监控软件行为）
总之，要等到程序运行正常之后才正式安装。
这次如果我用了影子系统，发现程序异常我就会启动系统，这个keylogger也就会消失。
我就不可能被挂 keylogger大概1天多时间，也不会有这篇文章。

我在那几个tmp文件里看到了我的银行、信用卡账户、BBS密码、email账户等等记录。
唉……悲啊！
现在还不清楚这些记录是否已经通过网络被盗走了，到底多严重的后果现在也不知道；
唯一能做的就是去修改自己所有的密码，而且以后一段多多留意自己各种账户的情况。

唉，真是老江湖遇到新问题……以后还是要坚持用影子系统预防保护，不得掉以轻心。

BTW，前天有个水木朋友说最近没宣传影子系统好处，这不就来了……呵呵
写下这篇文章，是以为记。

--
/------ \ | | / -----------------------------------------------------\
| ----- | 天 不 知 地 不 知 他 不 知 你 不 知 我 不 知 |
| [ @ @ ] | Godman 不 会 不 知 不 可 不 知 不 能 不 知 |
\--oOOO-----( )----OO0o-------|-----------------------------------------/

※ 修改:・Godman 于 Oct 25 11:49:19 修改本文・[FROM: 216.80.8.*]
※ 来源:・水木社区 newsmth.net・[FROM: 216.80.8.*]