遭遇rootkit

我前段时间中了一个巨牛逼的毒。

是rootkit。可以说是万毒之王了。

这么牛逼的毒都能被我中上,我真是三生有幸。

其实这个超强的毒也不容易中上的,但是是我亲自下载了他,然后亲自运行的,嘿嘿……

这个毒一般是高级黑客用来攻击linux或者unix的服务器的。可以获取root权限,然后控制服务器,还可以隐藏自己,消除痕迹,阻止系统日志的写入。

其实说他是个毒也不准确,它是一个软件包,包含了许多木马,黑客工具等等,完善的入侵软件。

我在中了以后,与它顽强的拼搏了三个月,他生出一个进程我就关一个;生出一个程序,我就删一个;改一条注册表,我就改回来。最后我都没法删了,因为删了那个程序还会再出来,而且很多,于是我就把文件内容清空,文件继续保留,以防止它再生。

中毒开始的症状是一开浏览器就弹出一堆网页,这个被我轻松的解决了,改改浏览器设置,相应的进程停掉,看看是哪个文件捣乱,删掉,清除注册表就可以了。那个东西一启动就打开iexplore.exe,还加几个rundll32.exe。最后已经被我把进程id(pid)记住了,一出来马上关掉,然后删之。

然后得症状是电脑启动项里的一个东西去不掉,注册表里删了还会再出来,安全模式删掉也还会再生。我已经禁用所有启动项,唯有那个禁用不了……

wanso,据说是万搜,不知道是什么东西……

我索性把他的启动路径给改了,改成打开我的电脑,反正每次启动都要进去的。别人都很奇怪为什么我机器一开就自动打开我的电脑了,问我怎么设置的,我说就在启动项里添加就好了……


他奶奶的其实是病毒……

再往后的症状就是我的电脑不停的向路由器发送ARP的包,寻找地址,搞的全家的网速都很慢。

我是用Wireshark检查出来的,我最后不得不修改路由器的配置,静态IP,还配上了访问控制列表……

那个nslooupi.exe被我改成了一个空的exe文件……

在往后的症状是每个盘都自己生成了一个autorun.ini的文件,还是系统隐藏的……

里面那些东西全都直指shell,看得我心惊胆颤。不过也给我提供了路径的线索,于是一一去改掉,把autorun.ini也改成空的,以免再生……

到最后我的电脑几乎百毒不侵了……

所有的病毒文件,我电脑里几乎都有,只不过是不运行的空文件……

我还要把这些假的病毒文件保护起来,更改权限,不让修改……

但是最后我错误的低估了一个病毒的威力,导致我前功尽弃……

最后得症状是系统程序被感染,系统时间不停的被改,瑞星打不开,安全模式进不去……

最后我的电脑虽然还可以使用,而且速度很快……(因为他帮我关了许多“不必要”的服务,刚开机的进程不到20个……)

正常的应用程序用起来比平时都快……

但是!已经是名副其实的僵尸了!

抵抗了三个月,不得不重装了。

我唯一的收获是找到了远程攻击我的IP地址,我traceroute了好多次,发现都是同一IP,而且用不同的手段攻击我,我记下了时间,但是我也不能保证他用的不是代理服务器……

所以……

我们老师常说的一句话,技术再也有解决不了的问题,还得靠人来解决……

我的损失不是很大,重装系统而已,而且重要文件,个人文档,注册表等我早有备份。


十几分钟的事。

我只是为了好玩,想看看到底rootkit是个什么样子……

但是如果真的是损失大的话,只能有机会找到那个IP的服务提供商,让他帮忙诉诸法律手段吧……

p.s.最近在研究qq病毒,大家如果看到我发什么奇怪的话,请一定告诉我……

By | 2017-06-07T13:59:46+00:00 六月 2nd, 2007|blog, 技术|0 Comments

About the Author: