科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道安全经验谈之清除能够自我恢复的病毒木马

安全经验谈之清除能够自我恢复的病毒木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

由于平时工作需要,需要为客户提供一些病毒清除及响应工程。在近期的一些工作总结中,发现目前的病毒还挺有“组织协调”能力,远不止以前的“单兵作战”,逐渐向“病毒职业化”方向了,清除难度也大大增加,于是有了以下 “反病毒响应工程”中一文。

作者:论坛整理 来源:zdnet网络安全 2008年2月28日

关键字: 杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

  • 评论
  • 分享微博
  • 分享邮件

前言

由于平时工作需要,需要为客户提供一些病毒清除及响应工程。在近期的一些工作总结中,发现目前的病毒还挺有“组织协调”能力,远不止以前的“单兵作战”,逐渐向“病毒职业化”方向了,清除难度也大大增加,于是有了以下 “反病毒响应工程”中一文。

比如,一个病毒或木马,负责从其他渠道进来(如网页挂马、局域网共享、U盘感染、远程溢出攻击等方式),按功能定义的话,简单称之为“入侵组”,他负责在客户的电脑占领一席之地。然后,配合远程指令里应外合,按照不同的需求DownLoad其他组的成员,比如“抗干扰组”或“清除障碍组”(比如,清除杀毒软件、干扰杀毒软件正常杀毒功能等),如果是基于窃取QQ或某类游戏密码或装备,则调用“分析判断组”,之后协调“窃听组”。如此周密地行动。

碰到的问题

时间:2007-11-10 (周六)

地点:某市某区科技园

环境:Windows 2000操作系统 &热血江湖之类的网游(客户的热爱)

故障检测:

1、打开网页,时不时正常访问,表面看上去似乎是网络通信问题;

2、使用“安全分析专家”检查发现较多隐藏的问题(Autoruns无法检查出ShellExecuteHooks);

3、部分注册表RUN自启动项,删除后,自动被恢复;(无法删除注册表键值)

4、将“安全分析专家”检查出来的可疑病毒,手工清除无效,使用IceSword强力清除,可以清除,但还是被恢复;(有监控线程注入到系统进程中,负责病毒体的反删除与恢复)

总结问题

从故障及清除过程来看,该病毒木马采用了多种顽固手法以提高杀毒软件或手工清除的难度。并结合一些自我恢复手段保障病毒体的完整。

顽固手法及自我恢复手法清单:

1、无法删除病毒体文件;

2、无法删除注册表自启动加载的键值;

3、挂钩SSDT,实时监控并恢复相关的注册表、文件内容;

4、挂钩ShellExecuteHooks,使用Explorer资源管理器自动加载其病毒本身;

5、挂钩Svchost.exe系统服务中,注册ServiceDLL,或篡改系统正常的ServiceDLL;

6、挂钩WinSock LSP;

7、病毒体随机性,以 *door?.dll 的形式变换;

解决方案

针对以上问题,不难发现当前病毒的一种协同合作,分工明细。不亚于公司团队的职责制。那么,如何解决这种问题呢?

从顽固病毒所采用的保护手段,我们可以逐一瓦解,最后再清除病毒体,因此,在看本文时,你可以参考解决方案是从下往上看。

处理过程:

1、使用“终截者抗病毒软件”中的功能“安全回归”,系统重新启动后,会通过自己特有的一套处理机制,将系统未通过验证的服务与自启动禁止系统加载其本身;其中“安全回归”功能还可以起到禁止加载ShellExecuteHooks所指向的DLL;达到很好的迅速回归到“安全状态”;

2、经过“终截者-安全回归”之后,可以清除大部分病毒体,但还有部分以“*door1.dll”(星号表示这些病毒体有随机性),还是没有最终发现出来的顽固病毒。(经检查这是终截者抗病毒软件安全回归功能需要改进的地方,有些ServiceDLL似乎没有拦截到)

3、使用Windows系统所特有的NTFS权限设置方法,将需要处理的顽固病毒列表,逐个赋予“Administrators”、“System”、“Everyone”三个组的权限为“所有拒绝”。禁止系统加载读取与加载该病毒体。

4、使用IceSword 文件强制删除功能,清除顽固病毒列表中的病毒体。

5、删除电脑网卡驱动程序,并重新安装网卡驱动;起到清除WinSock LSP劫持,恢复正常LSP浏览链;

6、重新启动电脑,检查下清除结果:OK ! 系统各方面使用恢复正常,网络访问正常。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章