这几天遇到很多网友说杀软不停的报rdriv.sys就是杀不了。后来远程协助的时候发现,以前的方法不管用了,可能是变种多了。
这是一种集IRC后门、蠕虫功能于一体,通过网络共享和操作系统漏洞(MS03-026、MS02-061、MS03-007、MS04-011等)进行传播的病毒。病毒尝试通过弱密码登陆目标系统,在感染的电脑上打开后门接收指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,容易造成局域网阻塞;还将安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS(拒绝服务)攻击等。同时病病毒使用高度隐藏技术,用户中招后很难察觉,最终沦为网络僵尸,被黑客完全操纵。
病毒将自身复制到以下目录:
%SystemRoot%\xxx.exe(xxx在下文中具体叙述)并释放以下驱动文件:rdriv.sys(用于隐藏自身进程,及445端口),每次开机时,启动自身运行。
以下是从网上搜集整理来的一些手工清除的方法(应该是针对各个变种的吧),继续关注和更新中。
1、最简单的,在安全模式下,运行注册表编辑器找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv
删除rdriv项,重新启动后查找并删除rdriv.sys文件。(海色斑斑提供)
但是今天发现,几个样本居然没有该项了, [s:10]
2、运行注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx,并删除该项,(可能只有一个也可能有2-3个,xxx的具体指代见下文)
如果发现有HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv也一并删除
3、重新启动后查找并删除%Windows%\System32\xxx(同样可能存在一个或多个)和%Windows%\System32\rdriv.sys。其中,可能会有些文件把自身注册为系统文件,可以使用attrib xxx.exe -s -h -r
del xxx.exe命令来删除,也可以使用IceSword等软件删除。
xxx可能为:mapi32.dll mapi32.exe edit.exe image.exe msdirectx.sys ssms.exe
或者大家可以尝试一下费尔木马强力清除助手
杀毒方法和步骤:
1、首先禁用所有杀毒软件;
2、下载费尔木马强力清除助手
http://dl.filseclab.com/down/powerrmv.zip,解压 PowerRmv.zip 文件,无需安装;
3、重启机器到安全模式 (开机按钮后不断按 F8 ),这个是必须的,在正常模式是杀不掉的;
4、执行 PowerRmv.exe ,启动“费尔木马强力清除助手”。在“文件名”中输入要清除的 rdriv.sys 木马文件名。但要加上文件路径c:windows\system32\rdriv.sys,请选中程序中的“抑制文件再次生成”选项按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室,点“否“,接着程序会继续提示是否确定要清除它,选“是”,之后,此木马被成功清除程序会提示成功。
5、重启机器后,rdriv.sys 已经没有了。
此外,强烈建议打好MS03-026、MS02-061、MS03-007、MS04-011等补丁。
欢迎补充指正!
