遭遇rootkit

我前段时间中了一个巨牛逼的毒。

是rootkit。可以说是万毒之王了。

这么牛逼的毒都能被我中上，我真是三生有幸。

其实这个超强的毒也不容易中上的，但是是我亲自下载了他，然后亲自运行的,嘿嘿……

这个毒一般是高级黑客用来攻击linux或者unix的服务器的。可以获取root权限，然后控制服务器，还可以隐藏自己，消除痕迹，阻止系统日志的写入。

其实说他是个毒也不准确，它是一个软件包，包含了许多木马，黑客工具等等，完善的入侵软件。

我在中了以后，与它顽强的拼搏了三个月，他生出一个进程我就关一个；生出一个程序，我就删一个；改一条注册表，我就改回来。最后我都没法删了，因为删了那个程序还会再出来，而且很多，于是我就把文件内容清空，文件继续保留，以防止它再生。

中毒开始的症状是一开浏览器就弹出一堆网页，这个被我轻松的解决了，改改浏览器设置，相应的进程停掉，看看是哪个文件捣乱，删掉，清除注册表就可以了。那个东西一启动就打开iexplore.exe，还加几个rundll32.exe。最后已经被我把进程id（pid）记住了，一出来马上关掉，然后删之。

然后得症状是电脑启动项里的一个东西去不掉，注册表里删了还会再出来，安全模式删掉也还会再生。我已经禁用所有启动项，唯有那个禁用不了……

wanso，据说是万搜，不知道是什么东西……

我索性把他的启动路径给改了，改成打开我的电脑，反正每次启动都要进去的。别人都很奇怪为什么我机器一开就自动打开我的电脑了，问我怎么设置的，我说就在启动项里添加就好了……

他奶奶的其实是病毒……

再往后的症状就是我的电脑不停的向路由器发送ARP的包，寻找地址，搞的全家的网速都很慢。

我是用Wireshark检查出来的，我最后不得不修改路由器的配置，静态IP，还配上了访问控制列表……

那个nslooupi.exe被我改成了一个空的exe文件……

在往后的症状是每个盘都自己生成了一个autorun.ini的文件，还是系统隐藏的……

里面那些东西全都直指shell，看得我心惊胆颤。不过也给我提供了路径的线索，于是一一去改掉，把autorun.ini也改成空的，以免再生……

到最后我的电脑几乎百毒不侵了……

所有的病毒文件，我电脑里几乎都有，只不过是不运行的空文件……

我还要把这些假的病毒文件保护起来，更改权限，不让修改……

但是最后我错误的低估了一个病毒的威力，导致我前功尽弃……

最后得症状是系统程序被感染，系统时间不停的被改，瑞星打不开，安全模式进不去……

最后我的电脑虽然还可以使用，而且速度很快……（因为他帮我关了许多“不必要”的服务，刚开机的进程不到２０个……）

正常的应用程序用起来比平时都快……

但是！已经是名副其实的僵尸了！

抵抗了三个月，不得不重装了。

我唯一的收获是找到了远程攻击我的IP地址，我traceroute了好多次，发现都是同一IP,而且用不同的手段攻击我，我记下了时间，但是我也不能保证他用的不是代理服务器……

所以……

我们老师常说的一句话，技术再也有解决不了的问题，还得靠人来解决……

我的损失不是很大，重装系统而已，而且重要文件，个人文档，注册表等我早有备份。

十几分钟的事。

我只是为了好玩，想看看到底rootkit是个什么样子……

但是如果真的是损失大的话，只能有机会找到那个IP的服务提供商，让他帮忙诉诸法律手段吧……

ｐ．ｓ．最近在研究ｑｑ病毒，大家如果看到我发什么奇怪的话，请一定告诉我……