Ubuntu Linux下杀驱动杀手与机器狗盗号木马[图文]

Ubuntu Linux下杀驱动杀手与机器狗盗号木马[图文]

前几天偶然不小心进入一个不良网页，当时打开网页就极慢，当时也没注意关机了，第二天一开机就要显示如下图（1）所示的提示。而且电脑根本就无法完全启动，慢的不可思议，网页也打不开，或者说打开一网页要半个小时。还自动下载的许多个病毒，每次都自动连接的IP是广东湛江的：121.10.107.65；121.10.107.64。也根本不能启动杀毒软件，怎么办呢，马上进入Ubuntu Linux 8.04系统。

查找有关这方面的知识：

 “驱动杀手”变种a（TrojanDropper.Driver.a）也叫“杀手小杰”，是木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳处理。“驱动杀手”变种a运行后，会先在被感染计算机的后台替换系统%SystemRoot%\system32\drivers\目录下的驱动文件“beep.sys”（替换后的恶意驱动程序文件大小为：2,560 字节），接着将该恶意驱动程序注册为系统服务，用来还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避安全软件的防御和查杀的目的。最后将该恶意驱动程序文件删除，并在被感染计算机系统的%SystemRoot%\system32\dllcache\目录下拷贝一个正常的原系统驱动文件“beep.sys”来覆盖还原恢复被病毒替换的系统驱动文件。

病毒会在被感染计算机系统的临时文件夹下释放恶意DLL组件文件“tmp1.tmp”（文件大小为：13,873 字节，文件属性为：系统、隐藏、存档），会在被感染计算机系统的%SystemRoot%\system32\目录下释放恶意DLL组件文件“msosdohs00.dll”（文件大小为：13,873 字节，文件属性为：系统、隐藏、存档），会在被感染计算机系统的%SystemRoot%\system32\drivers\目录下释放恶意驱动文件“msosmsfpfis64.sys”（文件大小为：2,560 字节，文件属性为：系统、隐藏、存档），还会在被感染计算机系统的%SystemRoot%\system32\目录下创建一个配置文件“msosdohs.dat”。

“驱动杀手”变种a运行时，会将恶意驱动程序“msosmsfpfis64.sys”注册为系统服务，用来还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避安全软件的防御和查杀的目的。会把恶意DLL组件程序“msosdohs00.dll”插入到所有用户级权限的进程中加载运行，防止被用户发现。会在被感染计算机系统的后台利用HOOK和内存截取等技术盗取用户玩家网络游戏“大话西游II”的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息资料。并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上。由于病毒发送密码的服务器根目录文件名为“xiaojie”（小杰），该病毒被怀疑系一名为“小杰”的骇客编写，因此该病毒也被称为“杀手小杰”。

江民反病毒专家提醒用户，由于以上病毒均具有关闭杀毒软件功能，因此电脑用户务必选择安装一款自我保护能力强大的杀毒软件保护电脑数据安全，务必及时更新杀毒软件病毒库，开启“主动防御”“实时监测”功能，以防御病毒于系统之外。