论文部分内容阅读
摘 要:U盘病毒是一种比较常见的病毒类型,脚本类型的U盘更因编写简单而大受制造者们的亲睐。通过分析一种脚本类型的U盘病毒运行机制及查杀方法,来揭开病毒的面纱及为读者提供手工查杀病毒的思路。
关键词:U盘;脚本;病毒;进程
1 前言
U盘病毒因编写简单、传染简单而一直占有一定的市场,它不依赖系统的漏洞,也不依赖网络,在用户使用U盘传输信息的同时不经意地就实施了传播。U盘病毒可以是一个可执行文件,也可以是一个简单的脚本文件,甚至可以是一个批处理文件。
2 病毒的运行
下面要介绍的是一种脚本病毒,病毒文件名为 *.vbs, “*”为一个自动产生的随机数,每次感染产生的数值都不一样,该病毒主要感染windows XP系统,带毒的U盘里的自动运行文件autorun.inf被修改如下:
[AutoRun]
Shellexecute=WScript.exe *.vbs “AutoRun”
Shell\open=打开(&o)
Shell\open\command=WSscipt.exe *.vbs “AutoRun”
Shell\open\Default=1
Shell\explore=资源管理器(&X)
Shell\explore\command=WScript.exe *.vbs “AutoRun”
从以上代码可以看出,无论对U盘进行怎样的操作——双击打开、右击打开、右击选择资源管理器等,都会导致病毒运行,从而使得病毒进一步传播。
3 病毒的表现及原因分析
被病毒感染了的机器会有如下一些表现:
⑴所有盘符中的一级文件夹变成1KB快捷方式,但双击可以打开相应的文件夹,文件夹的目标属性变成c:\*.vbs “c:\windows\Dir”。由目标属性的值可分析出,病毒将实际的文件夹隐藏,同时在盘符的根目录下生成了病毒的备份,并将快捷方式指向文件夹本身和隐藏的病毒文件,使得每单击一快捷方式病毒被运行一次,同时打开真实的文件夹,不仅让病毒多次运行,还增强了病毒的迷惑性。如图1所示。
⑵REGEDIT、CMD等与安全相关的工具窗口打开后立即关闭或打开后稍候几秒,便自动关闭。病毒中有相关代码循环关闭REGEDIT、CMD等窗口,使得用户无法利用这些系统提供的工具检测及处理病毒的存在,增加了病毒查杀的困难性。
⑶在进程列表中增加了三个进程,分别SVChost.exe(两个)和WScript.exe,如图2所示。
图2中,两个svchost.exe是病毒的主程序,并且这两个进程相互保护,删除其中一个,另一个自动帮助恢复,除非两个进程同时删除,这也增加清除病毒的困难性。wscript.exe是系统进程,用于运行脚本程序,在这里用来启动病毒程序*.vbs。
⑷病毒还污染了两个系统进程explorer.exe和smss.exe。病毒利用了ntfs文件系统的流式注入法修改了正常文件explorer.exe和smss.exe,如图3和图4所示。
4 解决方法
这个病毒因为没有太强的破坏性和典型性,很多的杀毒软件都无法查杀,下面根据以上的运行分析来说明该病毒的手工查杀方法。
结束病毒进程是查杀病毒的第一步。因为病毒用两个进程来相互保护,要结束病毒进程必须两个进程同时结束,由于系统提供的进程管理工具一次只能结束一个进程,并且被病毒监控,故需要找一个第三方的进程管理工具,如Icesword或Prcmgr等,同时结束两个用户名为administrator的Svchost进程和wscript进程。由于病毒污染了系统进程explorer和smss,所以这两个进程在清除病毒源程序之前也要结束。由于explorer进程是系统的桌面管理进程,结束后只能用命令的方式操作机器,对用户来说很不方便,故得找一个干净的explorer和smss程序,在命令模式下替换掉系统中感染了的相应的程序,然后启动两个干净的进程,以显示桌面。清除感染进程后,不要随便操作计算机,以免触发病毒再次运行。
第二步,修改注册表和文件夹属性,将隐藏文件和系统文件都显示出来。真实的文件夹和病毒都在其中,将每一个盘符根目录下的病毒源文件*.vbs和快捷方式逐一删除,此时系统中的病毒已经清除,剩下的事情就是恢复系统了。
恢复系统包括两个方面的问题,一是恢复注册表,二是恢复真实文件夹的系统和隐藏属性。注册表的修复要依赖于用户平时良好的安全习惯和意识,在对系统作重大改动时,一般都要对注册表进行备份。对真实文件夹的属性修改用在图形界面下已经是无能为力了,需要通过命令的方法进行,用命令“attrib -s -h文件夹名”逐一恢复文件夹的属性。
最后一步,别忘了对U盘的清理。首先通过组策略关闭U盘的自动播放功能,避免autorun.inf文件去激活病毒,再插入U盘,注意一定不能用双击、右击等方式打U盘,这些操作都会激活病毒。只能在命令提示符下进入U盘,删除其中的病毒文件、autorun.inf文件、快捷方式,并恢复正常文件夹的文件属性。
至此,用手工的方法完成了病毒的清除和系统的恢复。
[参考文献]
[1]http://baike.baidu.com/view/603374.htm.
[2]张涛.网络安全管理技术专家门诊[M].北京:清华大学出版社,2005.
[3]http://wenku.baidu.com/view/c7f5e4315a8102d276a22f90.html.
[4]肖军模,等.网络信息安全[M].北京:机械工业出版社,2006.
[5]罗诗尧.黑客攻防实战进阶[M].北京:电子工业出版社,2008.
关键词:U盘;脚本;病毒;进程
1 前言
U盘病毒因编写简单、传染简单而一直占有一定的市场,它不依赖系统的漏洞,也不依赖网络,在用户使用U盘传输信息的同时不经意地就实施了传播。U盘病毒可以是一个可执行文件,也可以是一个简单的脚本文件,甚至可以是一个批处理文件。
2 病毒的运行
下面要介绍的是一种脚本病毒,病毒文件名为 *.vbs, “*”为一个自动产生的随机数,每次感染产生的数值都不一样,该病毒主要感染windows XP系统,带毒的U盘里的自动运行文件autorun.inf被修改如下:
[AutoRun]
Shellexecute=WScript.exe *.vbs “AutoRun”
Shell\open=打开(&o)
Shell\open\command=WSscipt.exe *.vbs “AutoRun”
Shell\open\Default=1
Shell\explore=资源管理器(&X)
Shell\explore\command=WScript.exe *.vbs “AutoRun”
从以上代码可以看出,无论对U盘进行怎样的操作——双击打开、右击打开、右击选择资源管理器等,都会导致病毒运行,从而使得病毒进一步传播。
3 病毒的表现及原因分析
被病毒感染了的机器会有如下一些表现:
⑴所有盘符中的一级文件夹变成1KB快捷方式,但双击可以打开相应的文件夹,文件夹的目标属性变成c:\*.vbs “c:\windows\Dir”。由目标属性的值可分析出,病毒将实际的文件夹隐藏,同时在盘符的根目录下生成了病毒的备份,并将快捷方式指向文件夹本身和隐藏的病毒文件,使得每单击一快捷方式病毒被运行一次,同时打开真实的文件夹,不仅让病毒多次运行,还增强了病毒的迷惑性。如图1所示。
⑵REGEDIT、CMD等与安全相关的工具窗口打开后立即关闭或打开后稍候几秒,便自动关闭。病毒中有相关代码循环关闭REGEDIT、CMD等窗口,使得用户无法利用这些系统提供的工具检测及处理病毒的存在,增加了病毒查杀的困难性。
⑶在进程列表中增加了三个进程,分别SVChost.exe(两个)和WScript.exe,如图2所示。
图2中,两个svchost.exe是病毒的主程序,并且这两个进程相互保护,删除其中一个,另一个自动帮助恢复,除非两个进程同时删除,这也增加清除病毒的困难性。wscript.exe是系统进程,用于运行脚本程序,在这里用来启动病毒程序*.vbs。
⑷病毒还污染了两个系统进程explorer.exe和smss.exe。病毒利用了ntfs文件系统的流式注入法修改了正常文件explorer.exe和smss.exe,如图3和图4所示。
4 解决方法
这个病毒因为没有太强的破坏性和典型性,很多的杀毒软件都无法查杀,下面根据以上的运行分析来说明该病毒的手工查杀方法。
结束病毒进程是查杀病毒的第一步。因为病毒用两个进程来相互保护,要结束病毒进程必须两个进程同时结束,由于系统提供的进程管理工具一次只能结束一个进程,并且被病毒监控,故需要找一个第三方的进程管理工具,如Icesword或Prcmgr等,同时结束两个用户名为administrator的Svchost进程和wscript进程。由于病毒污染了系统进程explorer和smss,所以这两个进程在清除病毒源程序之前也要结束。由于explorer进程是系统的桌面管理进程,结束后只能用命令的方式操作机器,对用户来说很不方便,故得找一个干净的explorer和smss程序,在命令模式下替换掉系统中感染了的相应的程序,然后启动两个干净的进程,以显示桌面。清除感染进程后,不要随便操作计算机,以免触发病毒再次运行。
第二步,修改注册表和文件夹属性,将隐藏文件和系统文件都显示出来。真实的文件夹和病毒都在其中,将每一个盘符根目录下的病毒源文件*.vbs和快捷方式逐一删除,此时系统中的病毒已经清除,剩下的事情就是恢复系统了。
恢复系统包括两个方面的问题,一是恢复注册表,二是恢复真实文件夹的系统和隐藏属性。注册表的修复要依赖于用户平时良好的安全习惯和意识,在对系统作重大改动时,一般都要对注册表进行备份。对真实文件夹的属性修改用在图形界面下已经是无能为力了,需要通过命令的方法进行,用命令“attrib -s -h文件夹名”逐一恢复文件夹的属性。
最后一步,别忘了对U盘的清理。首先通过组策略关闭U盘的自动播放功能,避免autorun.inf文件去激活病毒,再插入U盘,注意一定不能用双击、右击等方式打U盘,这些操作都会激活病毒。只能在命令提示符下进入U盘,删除其中的病毒文件、autorun.inf文件、快捷方式,并恢复正常文件夹的文件属性。
至此,用手工的方法完成了病毒的清除和系统的恢复。
[参考文献]
[1]http://baike.baidu.com/view/603374.htm.
[2]张涛.网络安全管理技术专家门诊[M].北京:清华大学出版社,2005.
[3]http://wenku.baidu.com/view/c7f5e4315a8102d276a22f90.html.
[4]肖军模,等.网络信息安全[M].北京:机械工业出版社,2006.
[5]罗诗尧.黑客攻防实战进阶[M].北京:电子工业出版社,2008.