[分享] svchost.cnc病毒的清除指南

西布伦

今天接到群里用户求助说 瑞星防火墙打不开 注册表打不开 难道是AV又出新变种了？ 　　拿到他的日志看了半天 只找到一个类似鸽子的服务 　　[Logical System Managet / llsservet][Stopped/Auto Start]    <C:\Program Files\Common Files\svchost.cnc><N/A> 　　还有插入其他进程的一个tmp文件 　　[C:\DOCUME~1\xxxx\LOCALS~1\Temp\rsv1.tmp]    [Beijing Rising Tech. Co., Ltd., 1, 2, 0, 5] 　　不会那个服务搞的吧 　　要来了样本 赶紧测试了一下 　　发现这个病毒实在是高深 有些东西我也不太明白，所以写出来给大家看看。 　　病毒分析报告： 　　虽然扩展名是cnc但实际上就是个exe文件 　　生成文件： 　　C:\Program Files\Common Files\svchost.cnc 　　注册服务llsservet 　　服务相关键值： HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\0: "Root\LEGACY_LLSSERVET\0000" HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\Count: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\NextInstance: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\llsservet\Type: 0x00000110 HKLM\SYSTEM\ControlSet001\Services\llsservet\Start: 0x00000002 HKLM\SYSTEM\ControlSet001\Services\llsservet\ErrorControl: 0x00000000 HKLM\SYSTEM\ControlSet001\Services\llsservet\ImagePath: "C:\Program Files\Common Files\svchost.cnc" HKLM\SYSTEM\ControlSet001\Services\llsservet\DisplayName: "Logical System Managet" HKLM\SYSTEM\ControlSet001\Services\llsservet\ObjectName: "LocalSystem" HKLM\SYSTEM\ControlSet001\Services\llsservet\Description: "提供对系统磁盘检测及数据备份管理的支持。如果此服务被禁用，任何依赖它的服务将无法启动." 　　服务启动后： 　　不断修改svchost.exe的虚拟内存 将自身完全注入到一个svchost.exe的内存中（原理不太懂，后面说明是如何看出的这个） 　　使得一个svchost.exe的进程完全变成病毒的傀儡 　　之后那个傀儡svchost.exe尝试关闭如下窗口 KPFW32.EXE yassistse.exe rfwcfg.exe rfwmain.exe rfwsrv.exe Ras.exe nod32kui.exe nod32.exe RavMon.exe RavTask.exe RavMonD.exe RavStub.exe Ccenter.exe regedit.exe 360tray.exe icesword.exe mctray.exe 　　修改C:\windows为隐藏属性 　　下面就说说为什么 我觉得病毒完全将自身注入到svchost.exe的内存中的 　　1.在中毒机器中装了个process explorer以后发现有个svchost.exe是由explorer.exe启动的 而一般svchost.exe都应该是由services.exe启动的 　　2.用winhex查看中毒机器的内存 发现其中一个svchost.exe的所占的内存明显比其他的大 而这个svchost.exe的PID和刚才那个由explorer.exe启动的svchost.exe是一样的 　　3.用冰刃等工具 结束这个svchost.exe后 防火墙可以开启 注册表也可以打开 　　不过以上都是我的猜测 具体原理不太懂 希望有明白原理的网友帮忙解答一下 　　虽然说得这么邪乎 但似乎他还是靠服务启动的 　　所以我们把那个服务禁用了 他重启也就不会嚣张了 　　解决方法如下： 　　打开sreng 　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”， 　　选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”： 　　Logical System Managet / llsservet 　　重启计算机 　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定 　　删除C:\Program Files\Common Files\svchost.cnc  (如遇提示无法删除文件，下载费尔木马强制删除器工具进行强制删除)