扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
前言
由于平时工作需要,需要为客户提供一些病毒清除及响应工程。在近期的一些工作总结中,发现目前的病毒还挺有“组织协调”能力,远不止以前的“单兵作战”,逐渐向“病毒职业化”方向了,清除难度也大大增加,于是有了以下 “反病毒响应工程”中一文。
比如,一个病毒或木马,负责从其他渠道进来(如网页挂马、局域网共享、U盘感染、远程溢出攻击等方式),按功能定义的话,简单称之为“入侵组”,他负责在客户的电脑占领一席之地。然后,配合远程指令里应外合,按照不同的需求DownLoad其他组的成员,比如“抗干扰组”或“清除障碍组”(比如,清除杀毒软件、干扰杀毒软件正常杀毒功能等),如果是基于窃取QQ或某类游戏密码或装备,则调用“分析判断组”,之后协调“窃听组”。如此周密地行动。
碰到的问题
时间:2007-11-10 (周六)
地点:某市某区科技园
环境:Windows 2000操作系统 &热血江湖之类的网游(客户的热爱)
故障检测:
1、打开网页,时不时正常访问,表面看上去似乎是网络通信问题;
2、使用“安全分析专家”检查发现较多隐藏的问题(Autoruns无法检查出ShellExecuteHooks);
3、部分注册表RUN自启动项,删除后,自动被恢复;(无法删除注册表键值)
4、将“安全分析专家”检查出来的可疑病毒,手工清除无效,使用IceSword强力清除,可以清除,但还是被恢复;(有监控线程注入到系统进程中,负责病毒体的反删除与恢复)
总结问题
从故障及清除过程来看,该病毒木马采用了多种顽固手法以提高杀毒软件或手工清除的难度。并结合一些自我恢复手段保障病毒体的完整。
顽固手法及自我恢复手法清单:
1、无法删除病毒体文件;
2、无法删除注册表自启动加载的键值;
3、挂钩SSDT,实时监控并恢复相关的注册表、文件内容;
4、挂钩ShellExecuteHooks,使用Explorer资源管理器自动加载其病毒本身;
5、挂钩Svchost.exe系统服务中,注册ServiceDLL,或篡改系统正常的ServiceDLL;
6、挂钩WinSock LSP;
7、病毒体随机性,以 *door?.dll 的形式变换;
解决方案
针对以上问题,不难发现当前病毒的一种协同合作,分工明细。不亚于公司团队的职责制。那么,如何解决这种问题呢?
从顽固病毒所采用的保护手段,我们可以逐一瓦解,最后再清除病毒体,因此,在看本文时,你可以参考解决方案是从下往上看。
处理过程:
1、使用“终截者抗病毒软件”中的功能“安全回归”,系统重新启动后,会通过自己特有的一套处理机制,将系统未通过验证的服务与自启动禁止系统加载其本身;其中“安全回归”功能还可以起到禁止加载ShellExecuteHooks所指向的DLL;达到很好的迅速回归到“安全状态”;
2、经过“终截者-安全回归”之后,可以清除大部分病毒体,但还有部分以“*door1.dll”(星号表示这些病毒体有随机性),还是没有最终发现出来的顽固病毒。(经检查这是终截者抗病毒软件安全回归功能需要改进的地方,有些ServiceDLL似乎没有拦截到)
3、使用Windows系统所特有的NTFS权限设置方法,将需要处理的顽固病毒列表,逐个赋予“Administrators”、“System”、“Everyone”三个组的权限为“所有拒绝”。禁止系统加载读取与加载该病毒体。
4、使用IceSword 文件强制删除功能,清除顽固病毒列表中的病毒体。
5、删除电脑网卡驱动程序,并重新安装网卡驱动;起到清除WinSock LSP劫持,恢复正常LSP浏览链;
6、重新启动电脑,检查下清除结果:OK ! 系统各方面使用恢复正常,网络访问正常。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。