XP Pro SP2的系统,英文版。
【症状】
只要一连上网络,病毒就开始工作了,隔几分钟后(时间不固定),出来Service and Controller app错误,然后RPC服务中止,出现倒计时60秒重启的窗口。
运行netstat -a命令,可以发现一大堆连接,往各种网址和IP,端口都是SMTP,而且源源不断。
在装有Symantec AV10的情况下,Symantec会不断给出正在扫描发送email的提示以及出错信息,每几秒钟就有数十个。
【尝试】
我使用了SREng和ProcessExplorer,检查进程、启动项、服务、驱动,居然都没发现什么异常。原本这两个可是我对付绝大多数病毒的利器啊!
终于解决了!这是我至今遇到的最难查杀的病毒!
关键词: Rustok.B xpdx
【特征】
在system32下有一个xpdx.sys文件,此文件在windows系统内无法更改或删除,命令行也无法操作。奇怪的是,命令行dir看到的文件名是xpdx.sys,Windows资源管理器内看到的是xpdx。尝试任何操作都提示文件名不正确。
在系统服务内有一个xpdx服务,此服务完全隐藏,用sreng也扫描不到。
进程看不出任何异常,找不到隐藏进程。(procexp、sreng、icesword都试过)
当机器连上网络,病毒就自动开始工作,大量发送邮件,services.exe会占用30%左右CPU。短时间内造成services.exe出错,机器60秒倒计时重启。
我用Rootkit Revealer扫描,发现了HKLM\SYSTEM\CurrentControlSet001\Services\xpdx和HKLM\SYSTEM\CurrentControlSet002\Services\xpdx(注意:这里并没有发现HKLM\SYSTEM\CurrentControlSet\Services\xpdx)才联想到的,然后用xpdx关键词Google一下,找xpdx.sys才发现了这个病毒。
可以猜测,xpdx.sys利用隐藏很深的xpdx服务加载,并自我保护,进程内根本不留痕迹。出错的services.exe本身是干净的,而且是重要的系统进程,出错后关键服务都停了,几乎没办法干任何事情。在受感染的Windows系统内没有办法来清除病毒文件xpdx.sys和xpdx服务。
【解决办法】
使用深山红叶的WinPE光盘启动,连接到硬盘系统的注册表,删除 HKLM\SYSTEM\CurrentControlSet\Services\xpdx 这一整项,删除硬盘系统上windows\system32下面的xpdx.sys文件。
【防范】
由于此病毒大量向外发邮件,我猜测其主要传播途径是邮件。所以大家还是要当心邮件!
目前没有发现到该病毒自动感染局域网、自我复制、感染exe文件等现象,似乎传染能力不强。
但是此病毒实在太隐蔽了,一旦广泛传播,其杀伤力无可限量。