学步园

上周五遇到system.exe病毒，初次交锋，没有找到对付它的有效招式，就连组策略里面威力强大的软件散列规则也拿他没辙！最后只好重装系统了事，而且格式化系统盘重装系统后还有一点问题！让我着实郁闷了两天之久！

       这两天是休息天，我把拷贝回来的system.exe病毒在自家电脑上做试验，终于发现了它的奥秘！

       system.exe病毒文件仅仅5.5Kb大小，然而个头虽小能耐挺大！把这个病毒激活后，system32系统目录下就出来一个system.exe文件，系统进程中出现了system.exe的进程。用任务管理器不能中止他的进程，提示：“存储空间不足，无法完成此操作”。我用冰刃IceSword中止了它的进程，然而删除不了system.exe，有出错提示：“无法删除system：无法完成请求操作，因为磁盘上的严重媒体失败或数据结构损坏”。

       运行msconfig，在自启动项中有system.exe，类型为HBService32，把选择自启动的√ 取消后，它会自动打钩！

       既然在msconfig里面拿他没办法，那就到注册表里面想想办法吧！然而，在注册表里面删除system的自启动项后，按F5刷新注册表，发现它又自动添加了自启动项！我于是想试试修改run键的权限，但是根本行不通！看来修改注册表的方式也行不通了！

       看来即使中止了system.exe的进程，病毒可能已经通过其他方式启动了! 病毒很可能采取服务程序的方式或者系统驱动程序的方式随系统启动。我反复查找services.msc里面的服务程序，没有发现陌生的程序；于是又在system32目录下的drivers子目录下查找，发现了一个跟system.exe同时创建的系统驱动程序，HBKernel32.sys，用记事本打开这个文件，发现以下内容：

GetProcAddress LoadLibraryA GetModuleFileNameA RtlZeroMemory lstrlenA lstrcpyA lstrcmpiA GetModuleHandleA      MessageBoxA HBmhly.dll HB1000Y.dll HBWOOOL.dll HBXY2.dll HBJXSJ.dll HBSO2.dll HBFS2.dll HBXY3.dll HBSHQ.dll HBFY.dll HBWULIN2.dll HBW2I.dll HBKDXY.dll HBWORLD2.dll HBASKTAO.dll HBZHUXIAN.dll HBWOW.dll HBZERO.dll HBBO.dll HBCONQUER.dll HBSOUL.dll HBCHIBI.dll HBDNF.dll HBWARLORDS.dll HBTL.dll HBPICKCHINA.dll HBCT.dll HBGC.dll HBHM.dll HBHX2.dll HBQQHX.dll HBTW2.dll HBQQSG.dll HBQQFFO.dll HBZT.dll HBMIR2.dll HBRXJH.dll HBYY.dll HBMXD.dll HBSQ.dll HBTJ.dll HBFHZL.dll HBWLQX.dll HBLYFX.dll HBR2.dll HBCHD.dll HBTZ.dll HBQQXX.dll HBWD.dll HBZG.dll HBPPBL.dll HBXMJ.dll HBJTLQ.dll HBQJSJ.dll my.exe Client.exe woool.dat woool88.dat xy2.exe game.exe SO2Game.exe SO2GameFree.exe FSOnline2.exe gameclient.exe elementclient.exe asktao.mod Wow.exe ZeroOnline.exe Bo.exe Conquer.exe soul.exe TheWarlords.exe china_login.mpr blueskyclient_r.exe xy3.exe QQLogin.exe DNF.exe gc12.exe hugemanclient.exe HX2Game.exe QQhxgame.exe tw2.exe QQSG.exe QQFFO.exe zhengtu.dat mir1.dat mir2.dat user32.dll……

/Systemroot/System32/   / D e v i c e / d e v H B K e r n e l 3 2   * , ? / ? ? / s l H B K e r n e l 3 2       " ? N t C r e a t e T h r e a d     ? /Systemroot/System32/ /Systemroot/System32/drivers/ H B K e r n e l 3 2 . s y s   S y s t e m . e x e   / S y s t e m r o o t / S y s t e m 3 2 / D R I V E R S / H B K e r n e l 3 2 . s y s   V X t) / R e g i s t r y / M a c h i n e / S Y S T E M / C u r r e n t C o n t r o l S e t / S e r v i c e s / H B K e r n e l 3 2   / R e g i s t r y / M a c h i n e / S Y S T E M / C o n t r o l S e t 0 0 1 / S e r v i c e s / H B K e r n e l 3 2   / R e g i s t r y / M a c h i n e / S Y S T E M / C o n t r o l S e t 0 0 2 / S e r v i c e s / H B K e r n e l 3 2   / R e g i s t r y / M a c h i n e / S Y S T E M / C o n t r o l S e t 0 0 3 / S e r v i c e s / H B K e r n e l 3 2   / R e g i s t r y / M a c h i n e / S o f t w a r e / M i c r o s o f t / W i n d o w s / C u r r e n t v e r s i o n / R u n   D i s p l a y N a m e   4, H B K e r n e l 3 2   D r i v e r   E r r o r C o n t r o l     x,      I m a g e P a t h   ? s y s t e m 3 2 / D R I V E R S / H B K e r n e l 3 2 . s y s   S t a r t  
?      T y p e     
-    G r o u p  
,- B o o t   B u s   E x t e n d e r   H B S e r v i c e 3 2   d- S y s t e m . e x e     N t C r e a t e T h r e a d     ? N t S e t I n f o r m a t i o n F i l e     ( * ? N t O p e n P r o c e s s   ? / S y s t e m r o o t / S y s t e m 3 2 / n t d l l . d l l     < > . K e S e r v i c e D e s c r i p t o r T a b l e

       ^_^ 这下子好办了，病毒文件的名单和注册表键项都表述的清清楚楚！

       于是启动WinPE系统维护工具，删除system32目录下的system.exe程序，删除drivers目录下的HBKernel32.sys 、xlhcc.dat 、HBWOW.dll 、fqxlteag.nls 、fqxlteag.dll 、cid_store.dat ，顺便还检查了一下System Volume Information系统隐藏文件夹，在里面发现了一个病毒A0001067.COM，干脆吧System Volume Information目录和pagefile.sys文件删除了。

       如此这般，重启系统后，发现注册表里面的system.exe键项自动消失了！msconfig里面还是有system的自启动项，但是把√ 取消后，这个启动项也自动消失了！再运行任务管理器，确认病毒没有启动了！

       后记：

       我个人认为，从HBKernel32.sys文件可以看出，这个病毒的目的很可能是盗取一些网游的口令。以下是HBWOW.dll 文件的部分内容：（为了防止大家误点击超链接，我把http后面的//改成了/ 号）；

HBWOW.dll _ServiceRouteEx@12 StartServiceEx

StopServiceEx    123 FY_PASSWORD

http:/178.rc5566.cn/WOW/post.asp

http:/178.rc5566.cn/FWOW/baby7_ryds/post.asp

OSTURL3   

OSTURL4  

       目前一些知名杀毒软件还不能认出这个病毒，但是，当我试验system.exe时，病毒企图杀掉杀软的进程，被杀软识破，发出如下警报：

       “进程C:/WINDOWS/SYSTEM32/DRWTSN32.EXE触发了API类规则。”

       以上试验是在没有安装杀软的windowsXP sp2系统里面试验的（试验前修复了全部已知的安全漏洞）。

       如果以上方法不能清除病毒，可能是system.exe病毒的变种，变种病毒加入了自动播放功能和映像劫持功能，并对组策略和鼠标右键菜单进行了限制，容易导致电脑蓝屏死机，登陆桌面后出现出错提示：16位MS-DOS子系统，遇到无效的指令。变种病毒的手动清除方法，请参考：追击HBKernel32 system.exe 变种病毒

http://hi.baidu.com/deepdiving/blog/item/d505c6eb136a89d5d439c938.html

备注：

   采取以下措施可以大大降低system.exe病毒的危害性，对有些变种病毒，甚至可以让病毒无法运行：

   对以下三个目录设置NTFS权限：

   C:/Documents and Settings/Administrator（或当前用户名）/Local Settings/temp 禁止任何用户的运行权限；

   C:/Program Files/Common Files 禁止任何用户的写入权限；

   C:/WINDOWS/system32/drivers 禁止任何用户的修改、写入权限；

在组策略里面，利用软件路径规则，禁止程序从C:/Documents and Settings/Administrator（或当前账户名）/Local Settings/Temporary Internet Files 启动 ；

   在注册表里面，设置 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/shellexecutehooks键项的权限，禁止任何账户写入或修改；

设置HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows键项的权限，禁止修改或写入。

设置HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run键项的权限，禁止修改或写入；

设置HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run键项的权限，禁止修改或写入。