论文部分内容阅读
看到CFan上期(2007年第7期)那篇《以身试毒》的文章深有启发,虽然知道做研究病毒的事情还是相当有风险的,不过一旦成功研究出一套新病毒的手工杀毒方法,对稍微有点技术的菜鸟来说还是相当有成就感的。因此参照《以身试毒》通过虚拟机尝试对“毒王”熊猫烧香做了个简单实验,圆满得到它的手工查杀方法。对安全有兴趣的朋友,完全可以参照这个方法,安全地去研究一些未知病毒。
搭建蜜罐
为了更加安全,虽然完全参照《以身试毒》的方法,用了所谓完美的PowerShadow、IceSword、Filomon三防一体,但还是在虚拟机环境下操作更加有信心。在测试前我们进行了一个小小的防护,就是对所有磁盘进行了Autorun病毒免疫。
静观其变
运行病毒文件,我们立刻会发现:
1.病毒运行后,原来关闭瑞星后的“Windows安全中心”的提示消失了。
2.同时IceSword不断“哐哐”弹出确认关闭的窗口,关闭一个出错的对话框后恢复安静。
3.瑞星防火墙弹出气泡询问是否放行“spo0lsv.exe”文件访问网络,其实不等你反应,防火墙被病毒结束。
至此,熊猫表面上烧完了香,没了动静。
挖出熊猫烧香的根
经过以上变化,病毒显然是潜伏下来了,不过这时并没有像网上所说的那样病毒会拖慢系统,不管它,下面就来挖出熊猫烧香所做的一切幕后操作,收集手工干掉熊猫烧香的全部资料。
第1步 打开Filomon,查到进程GameSetup.exe的ID:4064,此时打开IceSword却不能找到它的进程,不过在IceSword左侧的“监视进程终止”项,却可以发现病毒对RavMon.exe,RavMonD.exe,RavTtask.exe,RavStub.exe等进程进行强制终止,导致防火墙关闭(见图1)。
第2步 继续检查Filomon记录里“请求”栏里的WRITE和CREATE关键字符,可以发现病毒在“C:\Windows\system32\drivers”下创建spo0lsv.exe文件(注意是一个英文o一个数字零),既然进程没有病毒那就先不忙对它动手(见图2)。
第3步 用IceSword的文件查看功能看看各分区下面的文件,由于进行了Autorun病毒免疫,所以“熊猫”是不可能建立Autorun.inf文件进行全盘感染的,只在F盘下发现了一个GameSetup.exe文件。
第4步 彻查注册表,我们只要注意注册表里的两个地方即可,知道了它们就能防住大部分木马病毒:
1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]这个里面,这里都是系统开机时所加载的程序。可以看出病毒创建了svcshare.exe启动项,指向是“C:\Windows\system32\drivers\spo0lsv.exe”。用IceSword的“启动项”查看功能就能很方便地可以看到(见图3)。
2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL]下的CheckedValue"=dword:00000001键值,如果被改,那就会造成无法显示隐藏文件,这里被修改一般都可以认定是中招了。
第4步 一般病毒还会在“C:\Windows\”和 “C:\Windows\system32”等目录下建立文件,在查看时只要将文件按时间顺序排列即可看到当天建立的文件,一般系统安装好后很少会再在这里建立文件,比较好辨认。
通过上面步骤我们基本上就可以开列出一张消灭熊猫烧香的列表,看出熊猫烧香都做了哪些背后动作,通过列表进入系统的安全模式,基本都可以轻松消灭病毒。
病毒很“好玩”
如果我们在上面的步骤只是开列熊猫烧香的行为列表,而不干掉它,就可以打开瑞星防火墙看看在病毒爆发的一瞬间发生了什么。在“防火墙TCP事件”里发现病毒的网路访问(共享)请求被拒绝。这应该是防火墙在“牺牲”前做的最后一点事,随后就被结束了(见图4)。看到杀毒软件和网络防火墙被病毒干掉这样的画面,对很多朋友来说都是相当不好玩的事情,但是在我们的蜜罐里却会变得相当有趣,熊猫烧香的一切行为被赤裸裸地展现在我们的面前。
手工查杀的基本步骤:先从外围的监控记录入手,对病毒样本文件、进程进行处理,再对注册表和服务进行清理是比较好的套路。不要忘记随时进行记录!
搭建蜜罐
为了更加安全,虽然完全参照《以身试毒》的方法,用了所谓完美的PowerShadow、IceSword、Filomon三防一体,但还是在虚拟机环境下操作更加有信心。在测试前我们进行了一个小小的防护,就是对所有磁盘进行了Autorun病毒免疫。
静观其变
运行病毒文件,我们立刻会发现:
1.病毒运行后,原来关闭瑞星后的“Windows安全中心”的提示消失了。
2.同时IceSword不断“哐哐”弹出确认关闭的窗口,关闭一个出错的对话框后恢复安静。
3.瑞星防火墙弹出气泡询问是否放行“spo0lsv.exe”文件访问网络,其实不等你反应,防火墙被病毒结束。
至此,熊猫表面上烧完了香,没了动静。
挖出熊猫烧香的根
经过以上变化,病毒显然是潜伏下来了,不过这时并没有像网上所说的那样病毒会拖慢系统,不管它,下面就来挖出熊猫烧香所做的一切幕后操作,收集手工干掉熊猫烧香的全部资料。
第1步 打开Filomon,查到进程GameSetup.exe的ID:4064,此时打开IceSword却不能找到它的进程,不过在IceSword左侧的“监视进程终止”项,却可以发现病毒对RavMon.exe,RavMonD.exe,RavTtask.exe,RavStub.exe等进程进行强制终止,导致防火墙关闭(见图1)。
第2步 继续检查Filomon记录里“请求”栏里的WRITE和CREATE关键字符,可以发现病毒在“C:\Windows\system32\drivers”下创建spo0lsv.exe文件(注意是一个英文o一个数字零),既然进程没有病毒那就先不忙对它动手(见图2)。
第3步 用IceSword的文件查看功能看看各分区下面的文件,由于进行了Autorun病毒免疫,所以“熊猫”是不可能建立Autorun.inf文件进行全盘感染的,只在F盘下发现了一个GameSetup.exe文件。
第4步 彻查注册表,我们只要注意注册表里的两个地方即可,知道了它们就能防住大部分木马病毒:
1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]这个里面,这里都是系统开机时所加载的程序。可以看出病毒创建了svcshare.exe启动项,指向是“C:\Windows\system32\drivers\spo0lsv.exe”。用IceSword的“启动项”查看功能就能很方便地可以看到(见图3)。
2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL]下的CheckedValue"=dword:00000001键值,如果被改,那就会造成无法显示隐藏文件,这里被修改一般都可以认定是中招了。
第4步 一般病毒还会在“C:\Windows\”和 “C:\Windows\system32”等目录下建立文件,在查看时只要将文件按时间顺序排列即可看到当天建立的文件,一般系统安装好后很少会再在这里建立文件,比较好辨认。
通过上面步骤我们基本上就可以开列出一张消灭熊猫烧香的列表,看出熊猫烧香都做了哪些背后动作,通过列表进入系统的安全模式,基本都可以轻松消灭病毒。
病毒很“好玩”
如果我们在上面的步骤只是开列熊猫烧香的行为列表,而不干掉它,就可以打开瑞星防火墙看看在病毒爆发的一瞬间发生了什么。在“防火墙TCP事件”里发现病毒的网路访问(共享)请求被拒绝。这应该是防火墙在“牺牲”前做的最后一点事,随后就被结束了(见图4)。看到杀毒软件和网络防火墙被病毒干掉这样的画面,对很多朋友来说都是相当不好玩的事情,但是在我们的蜜罐里却会变得相当有趣,熊猫烧香的一切行为被赤裸裸地展现在我们的面前。
手工查杀的基本步骤:先从外围的监控记录入手,对病毒样本文件、进程进行处理,再对注册表和服务进行清理是比较好的套路。不要忘记随时进行记录!