【病毒简述】
IGM病毒的肆虐也就在最近段时日,对于它如此快速的成为黑名单上的主角,我们并不感到惊讶,在这个已经失去安全感的网络环境中,一个病毒的横行已经变得稀松平常,最多也只是在演绎“你方唱罢我登场”的丑戏罢!从冲击波到熊猫烧香再到现今的IGM,我们的心情只怕已从惊讶逐渐变成麻木拉!
甚至以“满城尽是IGM”来形容该病毒所传播的范围,它非同于普通的病毒,该病毒通过HTTP来下载其他病毒,感染可执行文件、盗取QQ帐号、游戏帐号、并带有ARP欺骗扰乱局域网正常运行。本文就来详细介绍下如何清除集百毒于一体的IGM。
【故障现象】
每个病毒都有它独有的特征,我们可以称之为“病毒指纹”,而IGM病毒的指纹如下:
1. 系统进程中有img.exe进程(几乎大部分的病毒都会带有一个进程)
2. msconfig的启动里有igm.exe,其他启动项也被加入了病毒文件(为了实现自启动)
3. 系统目录中多了许多病毒文件(最厌恶这样的垃圾成堆,给手动排查增加了难度)
4. 出现服务名为“4f506c9e”的服务,该服务以系统权限运行(为了实现自启动;居然取了这个破绽百出的名字)
5. 每个磁盘的根目录下有隐藏的auto.exe和autorun.inf(利用了自动运行的原理)
6. 网络资源被占用,上网感觉慢(网络中充斥了大量无用的数据包、ARP欺骗包)
7. IE、QQ、任务管理器等应用程序一打开后就自动关闭(这很容易实现。关闭QQ的理由是让你重新试图登陆QQ,方便病毒窃取登陆密码)
8. CPU使用率奇高(病毒做了那么多的工作当然要占用更多的CPU资源)
9. 替换C盘的userinit.exe(同样是为了实现自启动;阴损但又防不胜防的招数让我无限鄙视病毒作者)
10. windows桌面背景被莫名的更换(我以前也干过类似的事J)
11. 每个进程被插入了病毒的DLL文件(这个排查难度大,DLL文件太多了)
12. 病毒将会访问如下网站下载其他病毒
www.94ak.com 58.211.79.98
t.11se.com 221.130.191.207
www.99mmm.com 219.153.42.98
www.44ccc.com 219.153.42.98
www.77bbb.com 219.153.42.98
3.77bbb.com 218.83.175.154
ask.35832.com 218.83.175.154
www.35832.com 218.83.175.154
www.15197.com 218.83.175.154
www.91ni.com 61.152.101.128
www.161816.com 60.190.114.95
【解决办法】
建议按照以下的顺序杀毒,以防病毒卷土重来
1. 用系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windowssystem32userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。在dos窗口输入:
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGW.EXE" /v debugger /t reg_sz /d debugfile.exe /f
说明:利用了映象劫持(本次专题知识点,缩写为IFEO)技术,禁止了IGW.exe和IGM.exe的运行。
2. 进入安全模式,删除注册表键值
删除
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 下的
“WinSysM”、“WinSys” 键值。
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32” 键值。
将
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows] 下的 “AppInit_DLLs”里的内容清空。
删除
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks] 下的
C:windowssystem32smydpm.dll
C:windowssystem32sztcpm.dll
C:windowssystem32kawdbzy.dll
C:windowssystem32arjbpi.dll
C:windowssystem32avzxdmn.dll
C:windowssystem32aqjbpi.dll
C:windowssystem32avwgcmn.dll
C:windowssystem32sidjazy.dll
C:windowssystem32kapjbzy.dll
C:windowssystem32kaqhezy.dll
C:windowssystem32avwlbmn.dll
C:windowssystem32atbfpi.dll
C:windowssystem32kvdxcma.dll
C:windowssystem32sjzbpm.dll
C:windowssystem32kafyezy.dll
3. 进入安全模式,强制删除以下文件,可利用工具XDelBox
c:/windows/system32/kvdxsbma.dll
c:/windows/system32/rsjzbpm.dll
c:/windows/system32/kvdxcma.dll
c:/windows/system32/ratbfpi.dll
c:/windows/system32/avwlbmn.dll
c:/windows/system32/kaqhezy.dll
c:/windows/system32/kapjbzy.dll
c:/windows/system32/sidjazy.dll
c:/windows/system32/avwgcmn.dll
c:/windows/system32/raqjbpi.dll
c:/windows/system32/avzxdmn.dll
c:/windows/system32/rarjbpi.dll
c:/windows/system32/kawdbzy.dll
c:/windows/system32/rsztcpm.dll
c:/windows/system32/rsmydpm.dll
c:/windows/system32/sidjazy.dll
c:/windows/igw.exe
c:/windows/igm.exe
c:/windows/system32/sedrsvedt.exe
c:winntigm.exe
c:winntsystem32sjzbpm.dll
c:winntsystem32acvsvc.exe
c:winntsystem32driverssvchost.exe
c:winntcmdbcs.exe
c:winntdbghlp32.exe
c:winnt vdispdrv.exe
c:winntupxdnd.exe
c:winntsystem32cmdbcs.dll
c:winntsystem32dbghlp32.dll
c:winntsystem32upxdnd.dll
c:winntsystem32yfmtdiouaf.dll
4. 搜索所有的磁盘根目录,删除隐藏文件auto.exe和autorun.inf
5. 运行services.msc,禁止服务“4f506c9e”
6. 另外查看hosts文件,检查是否病毒网站IP被强制关联了
【专题知识点】
关键词:映象劫持
我们可以在上述解决方案中找到映象劫持(IFEO)的用途,用来屏蔽IGW.exe、IGM.exe文件。当我们的windows系统运行一个可执行文件时,它会通过注册表查找该文件是否有被注册成IFEO,如果有,则运行IFEO里的值。在上述方案中,我们把IGW.exe、IGM.exe映射成debugfile.exe(参照解决办法中的第一条),这样运行IGW.exe或者IGM.exe就变成运行debugfile.exe啦。我们可以抛砖引玉,如果把QQ.exe也是映射成debugfile.exe,那是不是能起到禁止QQ的效果了?当然了,如果有需要禁止P2P软件的网吧或者企业的管理员可以试试。
【更多】
l HiPER上的IGM病毒快速查找和解决方案
http://www.utt.com.cn/bbs/showthread.php?t=6435
l 欢迎访问我们的网站:http://www.utt.com.cn
l 相关咨询: 艾泰科技 4006-781-781
相关报道
网络设备导航
