computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 以身试毒：测试冰河5.5LFP病毒感染专版(1)
发信站: 听涛站 (2001年09月26日11:07:03 星期三), 站内信件

朋友们，在一个多月前，网络上流传一只难缠的木马——冰河5.5LFP病毒感染专版。
据修改者LFP介绍：
　　 利用病毒原理感染exe文件。使用前你最好做好备份，省得哭的时候乱叫。
　　不可能卸载，只能和感染的文件一块删除。
　　小心使用！万万不能在自己机器上玩火。
提供样本下载的冰河第一站兵库站长小飞刀评论：
　　 现在的冰河还真成了病毒呀~，中了可麻烦哦，手工清除肯定是没用了。
　　带着各种疑惑，我决定冒险试试，揭开它的神秘面纱。佛曰“我不入地狱，谁入地
狱？”
　　开篇之前，必须忠告各位读者：本人测试的硬盘所有数据已全部备份，并已作好“
牺牲”的准备。没有做好准备功夫的朋友万万不能以身试毒，本人不对因此而造成的直
接间接损失负任何责任！
　　下面，让我们一起跟着这个传说中的“冰河5.5LFP病毒感染专版”走一走。
测试环境：
CPU CELERON（SLOT 1）300A OC 450MHz
主板 ABIT BH6 1.0（BH6-SS版，2000-06-28，内添加恢复精灵
内存 HY-TH 256M PC133
硬盘 MAXTOR 星钻一代40 G（34098H4）
光驱 ASUS 40X
显卡 MSI-4427(VOODOO BANSHEE—16M)
声卡 中凌YAMAHA724
电源 世纪之星黄金版ST325
操作系统 WIN98SE（2222A）简体中文版
“冰河5.5LFP病毒感染专版” （以下简称：冰河5.5 ），大小为295 K（302080）字节
。
　　双击运行冰河5.5，在C:\WINDOWS\SYSTEM\目录下增加4个文件：
lfp.dll（295 K）、lfp.exe（259 K）、tel.lfp（259 K）、system32.dll（259 K）
让大家认识一下他们的庐山真面目吧（图１）
图１
那么，他们又是如何偷偷运行的呢？
　　我尝试以三键“CTRL+ALT+DEL”查看关闭进程列表，一无所获；（在此笔者唠叨两
句：如果能够以三键的进程列表中查出该木马进程，那只能算低等的木马。拙劣的隐藏
性，它能否生存下去还要打个问号）。使用进程管理工具（推荐Windows优化大师自带的
Windows进程管理）一查，木马无所遁形！（图２）
图２
既是木马，自然也少不了有不怀好意的随机启动或随文件打开而启动（捆绑型木马）。

　　以LOCKDOWN2000监控win.ini、system.ini、CONFIG.SYS、AUTOEXEC.BAT，未发现有
改动的痕迹；
　　手动查找随机启动程序组（包含C:\WINDOWS\All Users\Start Menu\Programs\启动
）和WINSTART.BAT，也未发现有可疑之处，看来问题出在注册表中。
让我们一起来查查注册表，看看该木马作了哪些修改吧！
　　首先从木马的文件名着手查找：
（1）
[HKEY_CLASSES_ROOT\*\Shell\open\command]
@="C:\\WINDOWS\\SYSTEM\\tel.lfp %1"
[HKEY_LOCAL_MACHINE\Software\CLASSES\*\Shell\open\command]
@="C:\\WINDOWS\\SYSTEM\\tel.lfp %1"
（2）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\durrentVersion\Run]
@="C:\\WINDOWS\\SYSTEM\\system32.dll"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\durrentVersion\
RunServices]
@="C:\\WINDOWS\\SYSTEM\\system32.dll"
（3）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system"="lfp.dll"
　　DLL木马？
　　按常理来说，DLL文件属动态链接库，在WIN9X系统中默认为非关联文件，需要用户
选择某一种方式打开。
　　但是，system32.dll确实成功运行，并且出现在WINDOWS进程列表上。（图２）
　　而且，理论上的主角lfp.exe在注册表居然没有相应的键值？ 为什么呢？一时间，
测试陷入了僵局。
　　……

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]