1、病毒防范及处理方法解析,沈 赟 2009.1,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,互联网威胁,病毒通过各种方式复制感染其它文件 蠕虫自动传播自身的副本到其它计算机 木马在主机上未经授权自动执行 后门在主机上开放端口允许远程计算机访问 间谍软件检测用户的使用习惯和个人信息,在未经用户认知和许可下发送给第三方以上统称:恶意代码,威胁分类,防间谍软件产品覆盖范围,防病毒产品覆盖范围,趋势科技对恶意程序的定义,病毒流行趋势,范围:全球性爆发逐渐转变为地域性爆发 如WORM
2、_MOFEI.B等病毒逐渐减少 TSPY_QQPASS, TSPY_WOW, PE_LOOKED等病毒逐渐增加速度:越来接近零日攻击(Zero-Day Attack) 如WORM_ZOTOB, WORM_IRCBOT等方式:病毒、蠕虫、木马、间谍软件联合 如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒,病毒传播或感染途径,电子邮件:WORM_MYTOB,WORM_STRATION 网络共享:WORM_SDBOT P2P 共享:WORM_PEERCOPY.A 系统漏洞:WORM_MYTOB 、WORM_SDBOT 其它(目前大多数木马、间谍软件的感染方式) 移动磁
3、盘传播 网页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,病毒感染的一般过程,通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能 打开后门等待连接 发起DDOS攻击 进行键盘记录 . 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。,病毒自启动方式,修改系统 修改注册表 启动项 文件关联项 系统服务项 BHO项 将自身添加为服务 将自身添加到启动文件夹 修改系统配置文件 自动加载 服务和进程病毒程
4、序直接运行 嵌入系统正常进程DLL文件和OCX文件等 驱动SYS文件,常见的病毒行为,自动弹出网页 占用高CPU资源 自动关闭窗口 自动终止某些进程 .,无论病毒在系统表现形式如何 我们需要关注的是病毒的隐性行为!,病毒的隐性行为(一),下载特性 自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种 后门特性 开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控 信息收集特性 收集私人信息,特别是帐号密码等信息,自动发送 自身隐藏特性 使用Rootkit技术隐藏自身的文件和进程,病毒的隐性行为(二),文件感染特性 感染系统中部分/所有的可执行文件,使
5、得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。 典型 PE_LOOKED 维京 PE_FUJACKS 熊猫烧香 网络攻击特性 针对微软操作系统或其他程序存在的漏洞进行攻击 修改计算机的网络设置 向网络中其它计算机发送大量数据包以阻塞网络 典型 震荡波 ARP攻击,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,趋势产品杀毒机制(一),扫毒模块 扫描并检测含有恶意代码的文件,对其进行识别 对于被文件型病毒感染的可执行文件进行修复 组件 扫描引擎-VSAPI & TMFilter 病毒码-LPT$VPN.xxx 间谍软件病毒码-TMAPT
6、N.xxx 网络病毒码-TMFxxxxx.PTN,趋势产品杀毒机制(二),杀毒模块 损害清除服务(DCS) 对于正在运行/已经加载的病毒进行清除 终止进程 脱钩DLL文件 删除文件 恢复被病毒修改过的注册表内容,起到修复系统的作用 可视为趋势通用专杀工具 组件 损害清除引擎(DCE)-TSC.EXE 损害清除模板(DCT)-TSC.PTN 间谍软件清除病毒码-TMADCE.PTN,中国区病毒码(China Pattern),本地化,主动性 通过“主动”收集中国地区大量病毒样本(Sourcing),快速分析,由China Regional Trend Labs发布针对中国地区的病毒码。 包含全球
7、病毒码特性 中国区病毒码完全包含全球病毒码,并极大增加了对本地病毒的查杀数目和能力。 是根据中国病毒的特点,发布的病毒码版本。 技术领先特性,增强查杀率 中国区病毒码整合了多项智能扫描病毒技术,Intellitrap技术,最新杀病毒DCE5技术等多项查杀毒功能,大大增强了病毒查杀率。,为什么会出现无法清除的病毒?,有病毒本身的特性决定,为什么会出现无法隔离/删除的病毒?,当病毒感染系统后 病毒进程已经被系统加载 病毒DLL文件已经嵌入到正在运行的系统进程中 Windows自身的特性:对于已经加载的文件无法进行改动操作,从而导致病毒扫描引擎对检测到的文件无法操作。 已经加载的病毒不包含在损害清除
8、模板(DCT)中,病毒问题处理的标准流程,发现系统异常,怀疑有产品无法查到或处理的病毒 在征得用户同意的情况下,拔除网线 收集病毒日志 客户机端pccnt35.log 收集系统日志和样本 运行sic工具收集系统信息 使用在线分析系统,上传sic日志,获取样本提取工具 运行岩本提取工具,提取病毒样本包 将步骤3和4生成的三个文件提交给趋势科技 趋势提供病毒解决方案,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,手动病毒处理方法,如何来防病毒? 安装杀毒软件,并及时更新防病毒组件 及时更新系统和应用软件补丁,修补漏洞 强化密码设置的安全策略,增加密码强度 加强
9、网络共享的管理 增强员工的病毒防范意识 中毒了怎么办? 重装系统 系统还原 Ghost还原,删除病毒文件修复病毒修改的注册表和文件,手动病毒处理步骤(一),关闭系统还原 进入安全模式 终止所有可疑进程和不必要的进程 显示隐藏文件 工具-文件夹选项 选择“显示所有文件” 取消“隐藏受保护的系统文件” 仍然无法显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN CheckedValue = 2 DefaultValue = 2 HKEY_LOCAL_M
10、ACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue = 1 DefaultValue = 2,手动病毒处理步骤(二),判断可疑文件 路径 %SystemRoot% %SystemRoot%System32 %SystemRoot%System32drivers 按照日期排列文件,查看文件版本信息 可执行文件 .EXE,.COM,.SCR,.PIF DLL文件和OCX文件 LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件,可以直接双击打开查看其内容是否为文
11、本。若为乱码,则可疑。 Google之 联系趋势科技工程师,手动病毒处理步骤(三),修复被病毒修改的host文件 %SystemRoot%System32driversetchost 默认仅包含一条host记录 127.0.0.1 localhost 清空临时文件夹 %SystemRoot%Temp C:Temp Internet临时文件 C:Documents and SettingsLocal SettingsTemp 清理注册表等启动项信息,常用工具介绍,Process Explorer IceSword SIC-http:/ TCPView 分析网络连接 Regmon,InstallR
12、ite 监视注册表 Filemon,InstallRite 监视文件系统 趋势科技闪电杀毒手- http:/ 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,典型病毒案例分析:WORM_LOVGATE.AE(一),WORM_LOVGATE.AE的自身安装 该蠕虫会在执行后,生成以下文件: %System%hxdef.exe %System%IEXPLORE.exe %System%kernel66.dll %System%RAVMOND.exe %System%TkBellExe.exe %System%Update_OB.exe %Windows%SYSTRA.EXE %Wi
13、ndows% svchost.exe 并在Windows system目录中释放以下后门组件 LMMIB20.DLL MSJDBC11.DLL MSSIGN30.DLL ODBC16.DLL SPOLLSV.EXE NETMEETING.EXE IEXPLORER.EXE 其中的DLL文件被检测为WORM_LOVGATE.Q,EXE文件被检测为WORM_LOVGATE.V,典型病毒案例分析:WORM_LOVGATE.AE(二),WORM_LOVGATE.AE的自启动: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下 Wi
14、nHelp“C:WINDOWSSystem32TkBellExe.exe“ Shell Extension = “%System%spollsv.exe“ Hardware Profile = “%System%hxdef.exe“ Protected Storage = “RUNDLL32.EXE MSSIGN30.DLL ondll_reg“ Microsoft NetMeeting Associates, Inc.“NetMeeting.exe“ Program In Windows“C:WINDOWSSystem32IEXPLORE.EXE“ VFW Encoder/Decoder S
15、ettings = “RUNDLL32.EXE MSSIGN30.DLL ondll_reg“ HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows下 run“RAVMOND.exe“,典型病毒案例分析:WORM_LOVGATE.AE(三),通过修改注册表,将自身注册成服务 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下, COM+ System = “svchost.exe “ HKEY_LOCAL_MACHINESoftwa
16、reMicrosoftWindowsCurrentVersionRunServices 下,SystemTra = “C:WINDOWSSysTra.EXE “ HKEY_LOCAL_MACHINESystemCurrentControlSetServices下,注册 _reg和 Windows Management Protocol v.0 (experimental)两个服务对基于NT的系统, 它会添加一个AUTORUN.INF文件,该文件允许window的自动播放功能来执行系统根目录下的 COMMAND.EXE.它还会创建相关的注册表项: HKEY_LOCAL_MACHINESoftwa
17、reClassesAutoRun2ShellAutoRuncommand下,Default = “C:COMMAND.EXE“ /StartExplorer,典型病毒案例分析:WORM_LOVGATE.AE(四),大量邮件传播 该病毒通过 MAPI来回复系统中找到的电子邮件; 它发送的邮件是原始邮件的主题前加 RE:,并邮件正文的第一部分保留原始邮件。该邮件包含文件变化的附件。 该病毒还通过搜索Windows Address Book (WAB)取得邮件接收目标,并利用自带的SMTP引擎来发送电子邮件。,典型病毒案例分析:WORM_LOVGATE.AE(五),网络共享传播 该病毒会尝试在开放写
18、入权限的网络共享文件夹中放入自身副本,并利用社会工程学,以以下名字命名:admin$system32NetManager32.exe 它会在windows目录中建立共享文件夹,并将自己复制到该文件夹中,并以以下的文件名命名。,典型病毒案例分析:WORM_LOVGATE.AE(六),结束进程 这个蠕虫会结束包含有以下任一字符串的进程 MCAFEE RAVMON.EXE RFW.EXE RISING SKYNET SYMANTEC 文件关联 HKEY_CLASSES_ROOTtxtfileshellopencommand Default“Update_OB.exe %1“,病毒技术资源,病毒百科全书 http:/ 趋势未知病毒样本收集 http:/ You!,
