從規(guī)模及爆發(fā)面積來看，全國各地可能有數(shù)百萬甚至上千萬用戶被該流氓惡意修改了主頁，這和之前爆發(fā)的大面積piaoxue.com, feixue.net,73ss.com,9505.com,81915.com,4199.com等惡意修改用戶主頁，十分相似。同以往的一些“老流氓”相比，這些新流氓的特征是爆發(fā)面積特別大，效果明顯，目的明確單一（修改主頁），手段新奇狠毒，嘆為觀止。

顯然這是一場預(yù)謀已久的活動，并且短短幾天內(nèi)，這個(gè)驅(qū)動病毒至少已經(jīng)有三個(gè)不同的版本，造成一些專殺工具失效。這個(gè)MY123已經(jīng)具備所有病毒的特征，希望總有一天法律能將這種無良的作者繩之以法。

二、剖析流氓手段
這個(gè)驅(qū)動經(jīng)過層層改進(jìn)，家庭發(fā)揚(yáng)得很光大，看看：
1、飄雪(piaoxue）
2、飛雪(feixue）
3、QQHelper
4、allxun.com傲訊
5、My123（7255）

最早的MY123只有一個(gè)驅(qū)動，已經(jīng)有多個(gè)專殺工具可以殺。后來又出現(xiàn)版本2，即多一個(gè)同名的.dll位于system32目錄下，現(xiàn)在的版本3，是一個(gè)非同名的.dll位于system32目錄下。今天主要分析一下我手頭拿到的這個(gè)版本3。

1、程序安裝

首先是釋放一個(gè).dll到system32目錄下，文件名的特征是隨機(jī)的8位字母（也有版本是6位字母加2位數(shù)字），然后調(diào)用rundll32.exe wceiukte,DllUnregisterServer來注冊COM組件，接下來調(diào)用Rundll32.exe wceiukte.dll,DllCanUnloadNow來運(yùn)行程序，并且注冊WH_CALLWNDPROC這個(gè)系統(tǒng)掛鉤。
DLL分別注入SYSTEM和EXPLORER進(jìn)程空間，進(jìn)行保護(hù)，如果檢測沒有驅(qū)動，則會自動釋放出驅(qū)動，然后加載。同時(shí)這個(gè)DLL具有網(wǎng)絡(luò)下載升級功能。
這個(gè)dll運(yùn)行后，會生成一個(gè).sys文件，放到drivers系統(tǒng)目錄下。DLL通過一個(gè)算法得到SYS文件名，算法是：

DLL的文件名
ascii碼+32143289052890852-32143289052890848-34320958+34320955就就是SYS文件名
也就是ascii + 1
即.dll的文件名為：wceiukte.dll那么.sys文件名就為：xdfjvluf.sys

2、注冊和加載驅(qū)動
會在注冊表的HKLMSYSTEMCurrentControlSetServices下寫下同驅(qū)動名的一個(gè)值，把自己注冊為System Bus Extend的驅(qū)動，使得它的優(yōu)先級很高，即使在安全模式下加載，也使得很多想清除它的軟件無效。然后通過services來加載驅(qū)動，驅(qū)動加載后，生成三個(gè)線程附加到system這個(gè)系統(tǒng)核心進(jìn)程上，（以前的驅(qū)動是兩個(gè)線程）獲取最高權(quán)限。通過Process Explorer可以查看到這三個(gè)線程：

三個(gè)線程的作用分別為：

0x1dd4：自身文件獨(dú)占及句柄檢測保護(hù)模塊等,會將自身文件以獨(dú)占方式打開,這樣若不解除獨(dú)占,任何windows下使用常規(guī)訪問文件方法的程序包括殺毒軟件都無法讀寫或者刪除它的驅(qū)動程序文件。
文件句柄檢測保護(hù)模塊則是為了防止手工或者專殺的解除句柄的操作。以前的手工清除或者專殺都是需要先解除這個(gè)獨(dú)占，才能刪除文件。
但該驅(qū)動增加了這個(gè)保護(hù),會不停檢測自身文件的獨(dú)占是否被強(qiáng)制解除,如果檢測到,立即再次獨(dú)占.

0x1816：服務(wù)保護(hù)模塊:該模塊會檢測驅(qū)動自身的注冊表服務(wù)項(xiàng),不停地暴力重寫自身服務(wù)項(xiàng),使得無法刪除其服務(wù)項(xiàng).

0x103e: 篡改首頁模塊:該模塊會不停暴力重寫注冊表中首頁設(shè)置為www.,導(dǎo)致無法對該項(xiàng)進(jìn)行修復(fù).

三、手工清除辦法（適合目前有一定操作技能的用戶）
清除了這個(gè)流氓的手段，就可以針對來找一些清除辦法了。當(dāng)然，比起上一次的飄雪來，困難了許多。

1、找出驅(qū)動
要?dú)⒘髅ボ浖牡谝徊?，就是要找出流氓軟件，可以有多種辦法找出這個(gè)流氓軟件。
用到我以前寫的一篇文章《釜底抽薪:用autoruns揪出流氓軟件的驅(qū)動保護(hù)》，我們今天就來實(shí)戰(zhàn)一下。運(yùn)行autoruns之后，在它的 “Options(選項(xiàng)）”菜單中有兩項(xiàng)“Verifiy Code Signatures（驗(yàn)證代碼簽名）“Hide Signed Microsoft Entries（隱藏已簽名的微軟項(xiàng)）“，把這兩項(xiàng)都選中了。掃描之后，我們只看驅(qū)動（driver）這一項(xiàng)：

可以看出來，它是假冒微軟的驅(qū)動。這個(gè)驅(qū)動雖然寫明是微軟的，但是沒有經(jīng)過微軟的數(shù)字簽名，所以肯定是假的。（可能你的機(jī)器上顯示特別多，但所有非微軟的，都是有問題的），因?yàn)槭请S機(jī)生成的文件名，所以你那里找出來的，可能跟我的不一樣。請自己記下文件名。特征是8位隨機(jī)的字母，并且公司是微軟公司，但是顯示(Not verified)，如果你這里不能確認(rèn)，可以用下面的辦法。

2、用procexp找出驅(qū)動名來
運(yùn)行procexp,（下載地址見最后），找到system這個(gè)進(jìn)程，然后點(diǎn)右鍵——屬性（Properties）——線程（Threads），然后把下面的框子拉到最后，看有連續(xù)三個(gè)，比較無規(guī)則的八個(gè)字母的驅(qū)動，再跟autoruns對一下就可以確定是哪個(gè)驅(qū)動了。（見第一張圖）

3、刪除驅(qū)動.sys

打開c:windowssytem32drivers目錄，由于這個(gè).sys驅(qū)動文件把自己設(shè)為系統(tǒng)、隱藏，所以需要打開文件夾的顯示系統(tǒng)文件的選項(xiàng)才能看到。（你也可以用這個(gè)辦法來找到驅(qū)動，一般的正常驅(qū)動都不會想著隱藏自己的）。

在那個(gè)驅(qū)動文件上點(diǎn)右鍵，然后——Unlocker——會出來一個(gè)對話框，顯示當(dāng)前已經(jīng)使用這個(gè).sys的進(jìn)程，點(diǎn)“Unlock“，然后再Unlocker一下......顯示文件已經(jīng)被刪除了。。。。。以為大功告成了。

但是緊接著怪事就出事了，刷新一下，發(fā)覺這個(gè)文件又出現(xiàn)了！百思不得其解，已經(jīng)確認(rèn)所有的后臺服務(wù)都是正常的，那個(gè).dll也已經(jīng)被刪除了....這個(gè)問題困擾了許久，又拿出驅(qū)動好好研究了一下，終于發(fā)覺這個(gè)極其變態(tài)的辦法——一個(gè)正常的人是不可能把寫出這樣的驅(qū)動的!

它注冊了一個(gè)NotifyRoutine的一個(gè)回調(diào)函數(shù)，這個(gè)是一個(gè)自我修復(fù)的功能，只要系統(tǒng)任何進(jìn)程或線程打開，它馬上會調(diào)用，檢查文件如果被刪了就立即從內(nèi)存中自動恢復(fù)！顯然是針對上一次飄雪的那個(gè)手工專殺或者清除辦法做的一次改進(jìn)，正常辦法根本不可能刪掉。

用unlocker的確是把文件刪除了，但是沒有辦法不啟動其它進(jìn)程或者線程啊，即使馬上選擇關(guān)機(jī)，它也會新建線程，這個(gè)時(shí)候它也馬上可能恢復(fù)了。。。。難道只能用最后一招：DOS大法？？？真很不甘心啊....&%$#@!&*()_+

也不知怎么了,突然靈光一線,想到一個(gè)絕招:斷電法！就是:刪除之后,馬上不做任何操作,直接按機(jī)器電源鍵重啟!經(jīng)實(shí)驗(yàn)是成功的,OK...followed me...

清除之前,我們先要停止那三個(gè)system中的線程,那個(gè)會不停地自動檢測,打開procexp,然后在system上點(diǎn)右鍵---屬性---線程，點(diǎn)一下Start Address,這樣可以按字母排序，找到剛才我們看到的驅(qū)動，三個(gè)連續(xù)在一起。點(diǎn)一下線程，然后點(diǎn)那個(gè)“Suspend“按鈕，將這個(gè)線程暫停。（它做了自我保護(hù)，殺不掉的，只能暫停）。

確保停止線程之后，這個(gè)按鈕都變成“Resume(暫停)”，三個(gè)線程全部暫停之后，打開c:windowssystem32drivers目錄，右鍵點(diǎn)那個(gè).sys驅(qū)動---unlocker。

第一次先unlock那個(gè)System的句柄占用。第二次再unlocker，這個(gè)時(shí)候就會出來一個(gè)對話框：

這時(shí)注意了：

一手將鼠標(biāo)移動OK對話框中，一手找到機(jī)器的RESET鍵（請確保這個(gè)鍵有效，直接斷電對機(jī)器有損傷），在按下鼠標(biāo)之后，一看到那個(gè)刪除OK的提示之后，馬上按下RESET鍵，直接重啟機(jī)器（如果是筆記本，就先把電池拿了，直接斷電）。這個(gè)辦法講究眼急手快，如果無效再試一次。

按我的經(jīng)驗(yàn)，兩秒之后按下RESET鍵都是有效的（殺這個(gè)東西真不容易，再次詛咒一個(gè)寫出這么變態(tài)驅(qū)動的人來）。

3、刪除.dll
當(dāng)失去驅(qū)動保護(hù)之后，這個(gè)DLL也就肉雞了，要?dú)⒁獎(jiǎng)幦珣{你喜歡了。你放在那里不管也無所謂。它隱藏得也很深，沒有在注冊表的啟動組里面表現(xiàn)出來。360 出的專殺，只能殺MY123的前兩代，對于這個(gè)第三代，目前為止還不能清除，只能清除.dll。所以有時(shí)開機(jī)之后會顯示加載DLL失敗：

這個(gè)是由那個(gè)該死的驅(qū)動去加載的，所以找注冊表是沒有用的。

重啟之后，再重新設(shè)一下IE的主頁，應(yīng)該就可以了。至于那個(gè)Seriver的值，刪不刪都無所謂了。

四、DOS大法（適合現(xiàn)在以及將來所有此類型的流氓軟件，要求較高）
DOS大法一直是我們殺這類驅(qū)動流氓的最后一招，無論多么強(qiáng)的驅(qū)動保護(hù)，只要用了它，手到擒來，但是由于要安裝另外一個(gè)系統(tǒng)或者操作DOS，對于新手來說，有一定難度，所以一般來說，都不是我推薦的。這里建議去下載一個(gè)叫vfloopy的虛擬軟驅(qū)軟件，安裝之后，系統(tǒng)重啟的時(shí)候就多了一項(xiàng)，啟動到虛擬軟驅(qū)，這樣可以直去直接刪除這個(gè)驅(qū)動文件。

上面這個(gè)累了一身汗的辦法，不知多久就地失效，但思路是一樣的，只要找到驅(qū)動文件，下面就是如何刪除的問題。寫飄雪的時(shí)候就想著寫這個(gè)辦法了，但是覺得麻煩，不愿意再啟一個(gè)操作系統(tǒng)。

你也可以用深山紅葉這類系統(tǒng)急救光盤或者另外一個(gè)Windows去刪除那個(gè)驅(qū)動文件，具體的操作流程我就不多費(fèi)口舌了。