安全经验谈之清除能够自我恢复的病毒木马

前言

由于平时工作需要，需要为客户提供一些病毒清除及响应工程。在近期的一些工作总结中，发现目前的病毒还挺有“组织协调”能力，远不止以前的“单兵作战”，逐渐向“病毒职业化”方向了，清除难度也大大增加，于是有了以下 “反病毒响应工程”中一文。

比如，一个病毒或木马，负责从其他渠道进来（如网页挂马、局域网共享、U盘感染、远程溢出攻击等方式），按功能定义的话，简单称之为“入侵组”，他负责在客户的电脑占领一席之地。然后，配合远程指令里应外合，按照不同的需求DownLoad其他组的成员，比如“抗干扰组”或“清除障碍组”（比如，清除杀毒软件、干扰杀毒软件正常杀毒功能等），如果是基于窃取QQ或某类游戏密码或装备，则调用“分析判断组”，之后协调“窃听组”。如此周密地行动。

碰到的问题

时间：2007-11-10 （周六）

地点：某市某区科技园

环境：Windows 2000操作系统 &热血江湖之类的网游（客户的热爱）

故障检测：

1、打开网页，时不时正常访问，表面看上去似乎是网络通信问题；

2、使用“安全分析专家”检查发现较多隐藏的问题（Autoruns无法检查出ShellExecuteHooks）；

3、部分注册表RUN自启动项，删除后，自动被恢复；（无法删除注册表键值）

4、将“安全分析专家”检查出来的可疑病毒，手工清除无效，使用IceSword强力清除，可以清除，但还是被恢复；（有监控线程注入到系统进程中，负责病毒体的反删除与恢复）

总结问题

从故障及清除过程来看，该病毒木马采用了多种顽固手法以提高杀毒软件或手工清除的难度。并结合一些自我恢复手段保障病毒体的完整。

顽固手法及自我恢复手法清单：

1、无法删除病毒体文件；

2、无法删除注册表自启动加载的键值；

3、挂钩SSDT，实时监控并恢复相关的注册表、文件内容；

4、挂钩ShellExecuteHooks，使用Explorer资源管理器自动加载其病毒本身；

5、挂钩Svchost.exe系统服务中，注册ServiceDLL，或篡改系统正常的ServiceDLL；

6、挂钩WinSock LSP；

7、病毒体随机性，以 *door？.dll 的形式变换；

解决方案

针对以上问题，不难发现当前病毒的一种协同合作，分工明细。不亚于公司团队的职责制。那么，如何解决这种问题呢？

从顽固病毒所采用的保护手段，我们可以逐一瓦解，最后再清除病毒体，因此，在看本文时，你可以参考解决方案是从下往上看。

处理过程：

1、使用“终截者抗病毒软件”中的功能“安全回归”，系统重新启动后，会通过自己特有的一套处理机制，将系统未通过验证的服务与自启动禁止系统加载其本身；其中“安全回归”功能还可以起到禁止加载ShellExecuteHooks所指向的DLL；达到很好的迅速回归到“安全状态”；

2、经过“终截者-安全回归”之后，可以清除大部分病毒体，但还有部分以“*door1.dll”（星号表示这些病毒体有随机性），还是没有最终发现出来的顽固病毒。（经检查这是终截者抗病毒软件安全回归功能需要改进的地方，有些ServiceDLL似乎没有拦截到）

3、使用Windows系统所特有的NTFS权限设置方法，将需要处理的顽固病毒列表，逐个赋予“Administrators”、“System”、“Everyone”三个组的权限为“所有拒绝”。禁止系统加载读取与加载该病毒体。

4、使用IceSword 文件强制删除功能，清除顽固病毒列表中的病毒体。

5、删除电脑网卡驱动程序，并重新安装网卡驱动；起到清除WinSock LSP劫持，恢复正常LSP浏览链；

6、重新启动电脑，检查下清除结果：OK ！ 系统各方面使用恢复正常，网络访问正常。