網際論壇 - Powered by Discuz! Board

標題: [系統安全] Rootkit Unhooker 3.7.300.509 [打印本頁]

作者: yoyo007 時間: 2007-10-19 10:45 AM 標題: [系統安全] Rootkit Unhooker 3.7.300.509

[軟體名稱] Rootkit Unhooker 3.7.300.509
[軟體語言] 繁體中文
[檔案大小] 137 KB (140,530 位元組)
[官方站台] http://rku.nm.ru/
[存放空間] HTTP
[軟體簡介] 免安裝

Quote:

Rootkit Unhooker 是一款來自俄羅斯的進階 Rootkit 偵測工具，其功能十分強大，包含了 SSDT 掛鉤的偵測與還原，以及隱藏處理序、驅動和檔案的檢查和操作 ...等；主程式僅 93.5 KB，可以在安全模式下使用。要進入安全模式請按 [設定 → 設定 →] 勾選 [使用 [擴充模式] (需要重新開機) ] 即可；此外 Rootkit Unhooker 還可以自訂文字及背景色彩。

中文化說明：

1. 中文化模組取自官方的俄羅斯語言模組 (RkU 3.7.300.506+) 翻譯而成。
2. 切換繁體中文請開啟程式後按 [Language] → [Traditional Chinese]。
3. #1 整理了一個例子。

軟體特色：

‧SSDT 掛鉤的偵測和還原。
‧SSDT 陰影掛鉤的偵測和還原。
‧隱藏處理序的偵測、中止和傾印。
‧隱藏驅動的偵測和傾印。
‧隱藏檔案的偵測、複製和移除。
‧掛鉤代碼的偵測和還原。
‧報告產生功能。

注意：使用 RkU 需要管理員權限。

Quote:
‧SSDT Hooks Detection and Restoring
‧Shadow SSDT Hooks Detection and Restoring
‧Hidden Processes Detection/Terminating/Dumping
‧Hidden Drivers Detection and Dumping
‧Hidden Files Detection/Copying/Deleting
‧Code hooks Detection and Restoring
‧Report generation

支援的作業系統：

x86 32 bit Windows 2000 SP4
x86 32 bit Windows XP +SP1, SP2
x86 32 bit Windows 2003 +SP1, SP2
x86 32 bit Windows Vista

檔案下載：

MD5：

CODE: [Copy to clipboard]
987CAE79047F04CA36B0830A7CBC6297

請按 [Copy to clipboard] 複製解壓碼：

CODE: [Copy to clipboard]

PS. 請注意：

如軟體需特殊文件，而您只下不回的話，那不好意思，即使您 PM 向我詢問，我也會學您當個潛水者，不予回應，請別怪我，這本是禮尚往來，大家互相，所以，敬請各位大大保持論壇的良好風氣，養成有下有回的網路禮儀，謝謝您的配合 !!

作者: yoyo007 時間: 2007-10-19 10:47 AM
文章轉自：偉大的網際網路...
編輯整理：http://www.centurys.net/index.php

手動清除 Ntdll32.dll 木馬病毒 W32.Fujacks!html

一、病毒類型：W32.Fujacks!html Win32.troj.agent.s.412671

二、載入方式：利用驅動，凌駕於所有應用程式之上。(包括 COM)

Windows\system32\Ntdll32.dll 感染了 [Win32.troj.agent.s.412671] 病毒，卻無法刪除；就算在安全模式中進入登錄檔想刪除相關機碼也不行。

該木馬病毒執行後，會向系統加入一個名為 Internet Connection Manager (管理 Internet 網路連線) 的自啟動系統服務 (用於實現遠端監控)，來源檔為 Windows\system32\internet.exe，並對 IE 瀏覽器裝上一個名為 [IEHELPER.DLL] 的外掛，以上就是這個程式的最終目的。

到此為止，這都只是個很普通的木馬程式做的事情，剩下的就是它為了保證這兩項能在系統中常駐所花的心思了，而它厲害的地方也在於此。

程式執行時，會在 Windows\system32\driver 資料夾下加入一個名為 [mspcidrv.sys] 的系統驅動，並在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下寫入一個 NTDLL32.DLL 機碼 (注意，這個大有用處)；同時也向 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 寫入了該機碼 (啟動瀏覽器時自動啟動 NTDLL32.DLL)；向 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 加入了兩處啟動項，分別都指向 Windows\system32.internet.exe。

驅動 [mspcidrv.sys] 載入後會改寫三個系統服務描述表，分別為 NtDeleteKey、NtDeleteValueKey、NtSetValueKey，並 HOOK，使得針對那兩個最終目的的登錄機碼的 [刪除登錄機碼]、[刪除登錄值]、[變更登錄值] 這三個功能失去作用，這是為了保護 Internet Connection Manager 系統服務和 IEHELPER.DLL 外掛的登錄機碼不被清除。

而 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下的這個 NTDLL32.DLL 機碼，就是實現記憶體恢復的關鍵。實際上這是一個插入系統處理序的 DLL 檔案，在程式啟動時，它就作為一個系統緒程插入 explorer 處理序中，並對登錄機碼進行監視，它分別檢測上述兩個最終目的的兩處機碼，發現它們被刪除就立即重寫，這一招的作用是：

在驅動還在的情況下，如果登錄機碼被刪除 (透過某些工具軟體如：Rootkit Unhooker)，就立刻重寫；保證兩個最終功能的完整，是因為這個緒程自己本身也是要靠驅動保護的，所以在驅動失效，而它自己的登錄機碼又已被清除的情況下，它也只能維持在驅動被清除之前的那一次處理序插入，以在保證下次開機時，兩個最終目的的啟動項完整。

三、清除方法：

第一種方法：用 Rootkit Unhooker 清除。

1. 進入 Windows 工作管理員 (同時按 Ctrl+Alt+Del)，到 [處理程序] 分頁中
找到並結束 [explorer] 處理序；
切換到 [應用程式] 分頁按右鍵 → [新工作 (執行...) ] 選取並執行您安裝
的 Rootkit Unhooker 程式。

註：綠化版直接執行 [RKUnhooker.exe] 即可。

2. 切換到 Rootkit Unhooker 程式介面的分頁 [SSDT] 按 [掛鉤] 排序
找 [模組] 欄位中的值：mspcidrv.sys ← 在所有包含此值的行上按
右鍵 → [解開選定的掛鉤]。

3. 切換到 [處理序] 分頁找 [處理序名稱] 欄位內所有有關：
internet.exe 、mspcidrv.sys、Ntdll32.dll 和 IEHELPER.DLL
按右鍵 → [中止處理序]。

註：蒐集的教程採用的是 RkU 舊版，我重新編輯對應到此 RkU 新版；
   新舊版本在介面上的顯示略有差異，請視程式介面自行切換分頁並
   找出上述提到的相關檔案。

4. 開啟登錄編輯程式刪除登錄的服務 (執行 → regedit.exe)
在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到
有關 internet.exe 和 mspcidrv.sys 的兩個服務並將之刪除；
然後到 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
將 Appinit_Dlls 裡的值去掉，並在登錄機碼中搜尋所有有關：
internet.exe 、mspcidrv.sys、Ntdll32.dll、IEHELPER.DLL 的值
  ↑將他們刪除。

5. 主要有以下病毒檔案：

%systemroot%\system32\NTDLL32.DLL
%systemroot%\system32\IEhelper.dll
%systemroot%\system32\IEShell32.dll
%systemroot%\system32\internet.exe
%systemroot%\system32\drivers\mspcidrv.sys

但這時因為還有其它檔案在呼叫這幾個檔案，您可能在正常模式下刪除不掉，
可以開啟工作管理員按 [關機] 選擇 [重新開機] 後，進入安全模式中刪除。

6. OK，整個世界清淨多了。

第二種方法：在控制台下也可以停用驅動和服務。

1. 先安裝控制台：開始 → 執行 → [X:\i386\winnt32.exe /cmdcons]
X: 為您的 I386 所在路徑，依照提示安裝就行了，重開機後可看見多重系統
開機選單下多了一個 Microsoft Windows XP Recovery Console 控制台。
進入控制台，輸入數字選定您要進入的系統，輸入管理員密碼登入。

2. 進入控制台，輸入 Listsvc 指令後按 Enter，在螢幕上會出現目前系統中
已有的所有服務和驅動程式，以及其狀態說明。找到要停用的可疑服務或驅動
程式，輸入指令 disable 要停用的程式或服務，按 Enter 後螢幕上會顯示出
該服務以前的狀態和完成後的狀態；
如果想僱用某個程式或服務，則需輸入Enable 要停用的程式或服務，
按 Enter 後即可。控制台說明指令：help 可查閱所有可使用的指令。

作者: osk 時間: 2007-10-19 11:53 AM
哈...您是否最近有中毒過?否則怎出一堆"安全性相關"工具....哈..哈

Rootkit Unhooker 不知好用否?下載測試..
感謝版兄分享...辛苦了 ^^

作者: yoyo007 時間: 2007-10-19 12:09 PM

Quote:

Originally posted by osk at 2007-10-19 11:53:
哈...您是否最近有中毒過?否則怎出一堆"安全性相關"工具....哈..哈

Rootkit Unhooker 不知好用否?下載測試..
感謝版兄分享...辛苦了 ^^

論壇魅力無限，最近某位人士索性就把這裡當作肉雞大盤商了：http://www.centurys.net/viewthread.php?tid=129894；另一個原因是參考了：http://www.centurys.net/viewthread.php?tid=204345 帖內的投票數據及 tsjking 兄的補充說明，加上友人才中馬不久，於是毅然決然整理起這一系列工具，順便也把一些教程溫習一遍。希望可以不必用到，但如果非得用到時，也不缺，呵。

作者: xp20060726 時間: 2007-10-19 01:36 PM 標題: 感謝提供分享!

最近網路流行很多的惡性軟體在流竄,
像以Email傳播"笑話"供您下載,必遭中毒!
木馬也是很猖獗,所以防毒系統也不容易清除乾淨,
多一些防護是必要的!!

感謝您的分享 !!!

作者: a2213572 時間: 2007-10-19 01:45 PM
最近網際論壇常常上不了線.不曉得跟這些惡意病毒是否有關係.
昨天有網友反應在論壇下載 Your Uninstaller 之後關機時畫面全走樣!
感謝大大推出整系列的鎮暴部隊.

作者: yoyo007 時間: 2007-10-19 01:59 PM

Quote:

Originally posted by a2213572 at 2007-10-19 13:45:
最近網際論壇常常上不了線.不曉得跟這些惡意病毒是否有關係.
昨天有網友反應在論壇下載 Your Uninstaller 之後關機時畫面全走樣!
感謝大大推出整系列的鎮暴部隊.

還沒完，不過也差不多了；有些有繁體中文的，已先整理起來，另外還有一些正在整理中，全弄好，我會整合以反黑清毒常用輔助工具包分享出來。剩下一些用於系統監視的軟體，如 SSM、EQ ...等等之類，或一些防毒、防木馬、間諜的軟體，就不整理了，這部分需要大家視自己的系統和習慣自行搜尋下載。

作者: e722146 時間: 2007-10-19 09:46 PM
感謝提供一系列的防駭工具喔！
對於安定電腦來說很實用喔！
多謝大大熱心公益提供喔！

作者: tenhon 時間: 2007-10-19 10:14 PM
yo大的作品就是完善、解說完整，還有附案例說明，真正受益良多，除了感謝還是感謝！

作者: hong01 時間: 2007-10-20 12:05 AM
真是：功能十分強大！.... SSDT 掛鉤的偵測與還原，以及隱藏處理序、驅動和檔案的檢查和操作
先收下慢慢研究
謝謝版大！

作者: lin5105 時間: 2007-10-20 01:52 PM
是啊!常進出論壇,病毒與木馬就不得不防,可是,要百分百防止,確實要相當用心才行!
最近,掛在USB的硬碟透過檔案總管由根目錄點選時常存取被拒,如由"我的電腦"以次目錄方式點選則沒問題,是不是也隱藏有木馬?
Thanks ~~

作者: PLUS+ 時間: 2007-10-20 03:56 PM
手動清木馬可用.....
這類軟體的介面都非常非常相似
謝謝yoyo大

yoyo大會俄羅斯語喔XD

作者: yoyo007 時間: 2007-10-25 09:32 AM

Quote:

Originally posted by lin5105 at 2007-10-20 13:52:
是啊!常進出論壇,病毒與木馬就不得不防,可是,要百分百防止,確實要相當用心才行!
最近,掛在USB的硬碟透過檔案總管由根目錄點選時常存取被拒,如由"我的電腦"以次目錄方式點選則沒問題,是不是也隱藏有木馬?
Thanks ~~

沒看到我還真忘了，上次幫友人清理電腦時，帶了顆隨身碟去，剛剛開起來一看，居然也被感染了：

lin5105 大用 WsysCheck 瞅瞅看隨身碟內有啥東東；存取被拒的情況我遇過一次，但由於沒什麼重要資料，就格式化解決了。有重要資料的話，按右鍵 → 檔案總管，把資料複製出來，再格式化。

Quote:

Originally posted by PLUS+ at 2007-10-20 15:56:
手動清木馬可用.....
這類軟體的介面都非常非常相似
謝謝yoyo大

yoyo大會俄羅斯語喔XD

俄羅斯語我不會，但程式的對話方塊有英文可參照，唯獨字串需將俄羅斯轉為英文，再翻譯成中文，也是連矇帶猜兼測試，痛苦，花了很多時間。 ><

作者: 鐵漢柔情 時間: 2007-10-27 04:44 PM

Quote:

Originally posted by yoyo007 at 2007-10-25 09:32 AM:

沒看到我還真忘了，上次幫友人清理電腦時，帶了顆隨身碟去，剛剛開起來一看，居然也被感染了：

lin5105 大用 Wsy ...

==============================================
我也是受害者~~~~居然被隨身碟病毒入侵
還好有網際裡面各位前輩替我們解決~~~
真是受益良多

作者: duo 時間: 2007-10-28 11:40 AM
這個好讚喔
大大謝謝你熱心的發表

作者: csesanyo 時間: 2007-10-28 05:37 PM
還沒用過此軟體..謝謝分享
下載備用

作者: benleung 時間: 2007-10-29 06:25 AM
來學習一下手動清除木馬的程序,
在這裡,真是什麼電腦課程也有得學, ^ ^
謝過YOYO大了

作者: 七彩琉璃雨 時間: 2007-11-30 11:56 AM
專用於系統掛鉤的偵測與還原
對這類程序還沒多少研究
先收下備用~~

作者: tw517 時間: 2008-1-30 10:19 PM
網路好人多，放讀的壞人也多，好人應該長壽，放毒的應該下地獄。謝謝提供非常專業的解毒法！

作者: tsjking 時間: 2008-7-16 08:14 AM
原來還有這把刀在啊!稍為不留意就錯過了,要對付三教九流的惡意幫還真是
要備齊所有可用的工具,檢測了一下,幸好沒有什麼跟什麼東東掛鉤,看來系統
是安全的,再來就要好好的測試這個工具的功能,學著如何運用三刀流的技巧
確保系統安全,謝謝 yoyo大的繁化及分享,使用上有何進展再來報告

作者: vvedc 時間: 2008-7-16 08:58 AM
相信這是很有用的防衛軟件，要慢慢研究它的用法，多謝。

作者: flyblue 時間: 2008-7-16 07:21 PM
多種的防護措施多做
多重的保護嚕
感謝YoYo兄分享^^

作者: wellsss 時間: 2008-7-18 01:19 PM
好武器~ 搭配『冰劍』協助 "開竅" 。俄羅斯語個人看到大概會馬上投降吧
真有耐心，這 Rootkit Unhooker 3.7.300.509 看起來雖小，但功能不能小看。
雖然沒有用它來除毒的經驗，下來試試。
已列為收藏備用，給劍氣開鋒的寶物之一!!

作者: wellsss 時間: 2008-7-20 02:19 AM
報告YOYO大，近日無事連到官方網站 http://rku.nm.ru/ 看看
發現一行字串：

Access to the data has been denied!
Requested URL: http://rku.nm.ru/
Information: Contains recognition pattern of the JS/Iframe.F Java script virus

(汗...)

此外個人經過手下的某家防間諜掃出該軟體，於點選"檔案" → "掃描" 選硬碟後
Rootkit Unhooker 3.7 會自行於system32 建立三個"隨機命名的7-8位數檔案"
而這三個檔名個人實測數字，每次隨機產生的xxxxxxxx.exe檔案都不同。
而這三個隨機檔名檔案都被 Spyware Terminator判定為疑似木馬。

這三組檔案還會自動掛載『服務』驅動執行...(個人用Wsyscheck檢查得知)
由於相關的檔案有問題項目已被個人移除，yoyo大不介意的話我就抽空
再重新執行那動作產生可疑的問題檔，並傳圖片作證。

這裡個人先把上傳掃描結果傳給您看，我是覺得Rootkit Unhooker官方意圖不明。
可以的話，最好暫時選擇別用... 連官方網站都被封鎖了。
http://www.virustotal.com/zh-tw/ ... 7a2c88232f770a17931

檔案 RKUnhooker.EXE 接收於 2008.07.19 09:40:29 (CET)
當前狀態:
結果: 7/33 (21.22%)

CAT-QuickHeal 9.50 2008.07.18 (Suspicious) - DNAScan
eSafe 7.0.17.0 2008.07.17 Suspicious File
Ikarus T3.1.1.34.0 2008.07.19 Trojan-Spy.Win32.Bancos.MI
Panda 9.0.0.4 2008.07.18 Suspicious file
Prevx1 V2 2008.07.19 Suspicious
TrendMicro 8.700.0.1004 2008.07.18 PAK_Generic.001
VBA32 3.12.8.1 2008.07.18 suspected of Embedded.Trojan-Spy.Win32.Agent

補充：http://www.antirootkit.com/software/RootKit-Unhooker.htm 英文版載點
得知結果亦是相同。

補充：個人從某論壇看到Rootkit Unhooker原作者 EP_X0FF的簡介，看來他老兄
網站 '被查封' 是因為惹火了某群人？：
* Jun 26 Thu 2008 19:55
*卡巴斯基的後門

9月12日下午，Rootkit技術研究網站 http://www.rootkit.com/上發表了俄羅斯駭客EP_X0FF的一篇文章:
<<Haxdoors of the Kaspersky Antivirus 6/7>>
(卡巴斯基反病毒軟體6/7中的駭客後門)

EP_X0FF是著名的俄羅斯駭客，曾開發過Rootkit Unhooker,Process walker等國際領先的反ROOTKIT軟體，並擔任微軟SysInternals技術論壇的Malware(惡意軟體)版版主.

該文章中指出，卡巴斯基6.0-7.0中存在多個明顯的可以引發駭客攻擊的BUG，包括對SSDT掛鉤不正確的處理，和開放了一個由Ring3（用戶層）通向Ring0（核心層）
的CallGate(調用門），及其自身的“自我保護”功能相當脆弱等...

ps:感謝 yoyo大的中文化分享跟木馬教學！

[ Last edited by wellsss on 2008-7-20 at 08:57 AM ]

作者: yoyo007 時間: 2008-7-21 03:20 AM

Quote:

Originally posted by wellsss at 2008-7-20 02:19:

此外個人經過手下的某家防間諜掃出該軟體，於點選"檔案" → "掃描" 選硬碟後
Rootkit Unhooker 3.7 會自行於system32 建立三個"隨機命名的7-8位數檔案"
而這三個檔名個人實測數字，每次隨機產生的xxxxxxxx.exe檔案都不同。
而這三個隨機檔名檔案都被 Spyware Terminator判定為疑似木馬。

這三組檔案還會自動掛載『服務』驅動執行...(個人用Wsyscheck檢查得知)
由於相關的檔案有問題項目已被個人移除，yoyo大不介意的話我就抽空
再重新執行那動作產生可疑的問題檔，並傳圖片作證。

RkU 有問題這一點我倒是不擔心，因為使用者蠻多的，逆向也大有人在，如果有問題，不至於沉默至今，網路應會有沸沸揚揚的討論。比較好奇的反而是您說的那三個隨機數 EXE，我是沒看到 RkU 有建立這些東東啦，可否請教下您測試的所有具體步驟？謝謝。

歡迎光臨網際論壇 (http://centurys.net/)