同事运行了某个来历不明的程序,招来了病毒的袭扰,但是其安装的某款免费杀软对其却无动于衷。看来,该病毒有可能采用了免杀技术,突破该杀软防线。同事向小李求助,小李虽然是个菜鸟,不过凭借手中的得力工具,很快摸清了病毒的特点并将其彻底清除。
1.明察秋毫,识破病毒的伎俩
同事向小李提供了带毒软件样本,为了安全起见,小李决定在虚拟机中对其分析测试。在虚拟机中启动TotalUninstall这款工具,在其主界面工具栏依次点击“已监控程序”和“安装”按钮,点击“下一步”按钮,TotalUninstall开始拍摄系统当前快照。之后在“程序名称”栏中输入目标程序名称,例如“病毒检测”。选择需要检测的可疑程序。点击“启动安装程序”按钮,激活该可疑程序。可以看到,该程序来者不善,并没有像正常软件一样出现安装界面,而是几乎没有任何反应,其实该病毒程序已经悄然运行了。
之后点击“程序已安装”按钮,TotalUninstall再次拍摄系统快照。在TotalUninstall主界面中的“已监控”栏中选择“病毒检测”项,在窗口右侧打开“文件系统”节点,看到该病毒在“C:Program FilesCommon FilesMicrosoft SharedMSInfo”文件夹中生成了一个记录文件,一个病毒主文件。在“C:Windows”中创建了名为“reserver.exe”的程序,之后在“C:WindowSystem32”文件夹中生成了名为“_rejoince.exe”的隐藏文件。而且病毒很快就删除了“C:Windows”中“reserver.exe”文件来隐蔽自身行踪。在“注册表”栏中看到该病毒将自身伪装成了名为“系统媒体服务”的服务,并指向上述路径中的病毒程序。小李让同事打开电脑进入安全模式,根据以上线索将病毒文件全部删除,在注册表编辑器中打开“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支,删除其下的“Windows Media Service”子键,该病毒就彻底失去了活力。
2.深入分析,让病毒木马现原形
如果遇到难缠的病毒,小李会使用InstallWatch这款高级分析工具来应对。前几天小李的QQ好友给其传了一个游戏修改器,为了安全起见,小李在虚拟机中启动InstallWatch,在其主界面工具栏上点击“安装”按钮,在弹出向导窗口中依次点击下一步按钮,拍摄系统当前快照。之后选择该修改器程序,执行该程序后,InstallWatch对系统再次拍摄快照。输入本次检测的项目名称,完成检测操作。
小李在WatchInstall主界面左侧选择本检测项目的名称,在窗口右侧可以查看系统所有的变动信息。可以看到,该程序新建了14个文件,删除了2个文件,更改了18个文件,在注册表新建了105个条目,删除了4个条目,更新了49个条目等。在其中仔细检测,发现该程序实际上是个木马,其在“C:Program FilesInternet Explorer”文件夹下创建了名为“rundll_32.exe”的文件,注意,其处于隐藏状态,无法直接观察到。在“C:WindowsSystem32Winfile”文件夹中生成了“_rundll_32.exe”、“spupdsvc.exe”、“jdsthul.exe”、“4367390.exe”、“bdwin.exe”、“cec4e335.exe”、“npwmsdrm.exe”等众多可疑文件。在注册表分析项目中,发现该木马创建了名为“Network Manger Agent”的系统服务,在其描述信息中显示“网络管理实用工具”字样,起到迷惑用户的目的。清除该木马的方法很简单,先进入安全模式,终止“Network Manager Agent”服务的运行,然后使用IceSword,Wsyscheck等工具将木马生成的上述可疑文件删除,最后删除木马创建的假冒服务即可。
文/刘景云
关注读览天下微信,
100万篇深度好文,
等你来看……
