网络流行病毒(木马)之手动查杀
<p>测试病毒:1.QQ巨盗 “Trojan.PWS.Qqpass.425” (关键病毒程序:tfidma.exe severe.exe OSO.exe)<br/> <br/> 2.武汉男生,又名熊猫烧香病毒 ”Worm.WhBoy.h“ (关键病毒程序:setup.exe spoclsv.exe)</p><p>测试环境:Vmware Workstation虚拟机平台Windows xp sp2操作系统</p><p>内容:一、病毒的原理。</p><p> 1.当前网络流行病毒传播共性。</p><p> (1)利用可移动设备在不同计算机之间的移动使用</p><p> (2)通过在网页中插入病毒代码使访问者受感染</p><p> (3)感染的计算机通过弱口令连接宿主机所处网络的其它计算机,连接成功后,从后台传输病毒文件使其感染</p><p><br/> 2.感染病毒后计算机操作系统的表现形式。</p><p> (1)系统进程列表中出现一个或多个不明进程,且部分进程无法结束。</p><p> (2)进程管理器无法正常使用(表现为一闪就消失)</p><p> (3)杀毒软件不能正常工作或被强行关闭。</p><p> (4)磁盘中的部分文件无法正常启动,甚至图标也被更改,文件明显变大。</p><p> (5)磁盘不能正常双击打开,单击右键第一个选项变成"Auto"、"DOS"或其它名称。</p><p><br/> 3.通过系统中的记事本程序来模拟病毒的表现形式。</p><p> 4.针对两种病毒程序进行详细讲解。</p><p><br/>病毒1-QQ巨盗</p><p>病毒名称: QQ巨盗 “Trojan.PWS.Qqpass.425” (tfidma.exe severe.exe)</p><p>中毒症状:禁止常见杀毒软件的运行(如瑞星、卡巴斯基等),禁止运行注册表,修改系统时间到2004年,结束进程后继续运行。而且当它存在</p><p> 于进程中的时候,它将关闭瑞星等各类杀毒软件,还使得一些正常的系统优化软件不能正常运行,如冰刃等。如果你不断的用任务</p><p> 管理器关闭它,它将每一秒启动一次自己,让你的系统资源耗尽,最后死机。</p><p>病毒特征:A. 该病毒收集特定网站的用户ID及Password。</p><p> B. 该病毒将收集信息反馈给病毒作者,以用于非法行为。</p><p> C. 该病毒会修改注册表来停止Window安全服务。</p><p> D. 该病毒将终止特定的进程。</p><p> E. 该病毒修改Hosts文件以用于禁止访问网络安全站点。 </p><p>发作症状:</p><p>1、该病毒被执行后,将自动生成并保存于下文件夹中: </p><p>- %system%\tfidma.exe (96,897 Bytes) <br/>- %system%\severe.exe (96,897 Bytes) <br/>- %system%\tfidma.dll (38,400 Bytes)<br/>- %system%\hx1.bat (修改系统时间为2004年)</p><p>- %drivers%\adamrf.exe (96,897 Bytes) <br/>- %drivers%\conime.exe (96,897 Bytes) </p><p>- OSO.exe – 被杀毒软件诊断为“Trojan.PWS.Qqpass.425 ”病毒。<br/>- autorun.inf – 自动执行文件(引导执行OSO程序)</p><p><br/>* 默认系统文件夹(%System%) <br/>- Windows 9X/ME: C:\Windows\SYSTEM\ <br/>- Windows NT/2000: C:\Winnt\System32\ <br/>- Windows XP: C:\Windows\System32\ </p><p>2、该病毒将修改以下注册表项:</p><p>- </p><p>“CheckedValue = 0 “ (强行修改查看属性为隐藏,无法从“文件夹选项“中来修改。)</p><p><br/>- </p><p>“NoDriveTypeAutoRun = b5” (这个键决定了是否执行CDROM或硬盘的AutoRun功能)</p><p><br/>- </p><p>“Shell = Explorer.exe %system%\drivers\conime.exe” </p><p>修改注册表用于结束安全软件进程: </p><p>- <br/>“MagicSet.exe\Debugger = %drivers%\adamrf.exe” <br/>“Rav.exe\Debugger = %drivers%\adamrf.exe” <br/>“avp.com\Debugger = %drivers%\adamrf.exe” <br/>“avp.exe\Debugger = %drivers%\adamrf.exe” <br/>“KRegEx.exe\Debugger = %drivers%\adamrf.exe” <br/>“KvDetect.exe\Debugger = %drivers%\adamrf.exe” <br/>“KvXP.kxp\Debugger = %drivers%\adamrf.exe” <br/>“TrojDie.kxp\Debugger = %drivers%\adamrf.exe” <br/>“KVMonXP.kxp\Debugger = %drivers%\adamrf.exe” <br/>“IceSword.exe\Debugger = %drivers%\adamrf.exe” <br/>“mmsk.exe\Debugger = %drivers%\adamrf.exe” <br/>“WoptiClean.exe\Debugger = %drivers%\adamrf.exe” <br/>“kabaload.exe\Debugger = %drivers%\adamrf.exe” <br/>“360Safe.exe\Debugger = %drivers%\adamrf.exe” <br/>“runiep.exe\Debugger = %drivers%\adamrf.exe” <br/>“iparmo.exe\Debugger = %drivers%\adamrf.exe” <br/>“adam.exe\Debugger = %drivers%\adamrf.exe” <br/>“RavMon.exe\Debugger = %drivers%\adamrf.exe” <br/>“QQDoctor.exe\Debugger = %drivers%\adamrf.exe” <br/>“SREng.EXE\Debugger = %drivers%\adamrf.exe” <br/>“Ras.exe\Debugger = %drivers%\adamrf.exe” <br/>“msconfig.exe\Debugger = %drivers%\adamrf.exe” <br/>“regedit.exe\Debugger = %drivers%\adamrf.exe” <br/>“regedit.com\Debugger = %drivers%\adamrf.exe” <br/>“msconfig.com\Debugger = %drivers%\adamrf.exe” <br/>“PFW.exe\Debugger = %drivers%\adamrf.exe” <br/>“PFWLiveUpdate.exe\Debugger = %drivers%\adamrf.exe” <br/>“EGHOST.exe\Debugger = %drivers%\adamrf.exe” <br/>“NOD32.exe\Debugger = %drivers%\adamrf.exe “ </p><p><br/>3、感染该病毒后,将自动停止某些安全软件:</p><p>- srservice <br/>- net.exe <br/>- sc.exe <br/>- KVWSC <br/>- KVSrvXP <br/>- kavsvc <br/>- RsRavMon <br/>- RsCCenter <br/>- RsRavMon <br/>- sc.exe <br/>- net.exe <br/>- sc1.exe <br/>- net1.exe <br/>- PFW.exe <br/>- Kav.exe <br/>- KVOL.exe <br/>- KVFW.exe <br/>- adam.exe <br/>- qqav.exe <br/>- qqkav.exe <br/>- TBMon.exe <br/>- kav32.exe <br/>- kvwsc.exe <br/>- CCAPP.exe <br/>- KRegEx.exe <br/>- kavsvc.exe <br/>- VPTray.exe <br/>- RAVMON.exe <br/>- EGHOST.exe <br/>- KavPFW.exe <br/>- SHSTAT.exe <br/>- RavTask.exe <br/>- TrojDie.kxp <br/>- Iparmor.exe <br/>- MAILMON.exe <br/>- MCAGENT.exe <br/>- KAVPLUS.exe <br/>- RavMonD.exe <br/>- Rtvscan.exe <br/>- Nvsvc32.exe <br/>- KVMonXP.exe <br/>- Kvsrvxp.exe <br/>- CCenter.exe <br/>- KpopMon.exe <br/>- RfwMain.exe <br/>- KWATCHUI.exe <br/>- MCVSESCN.exe <br/>- MSKAGENT.exe <br/>- kvolself.exe <br/>- KVCenter.kxp <br/>- kavstart.exe <br/>- RAVTIMER.exe <br/>- RRfwMain.exe <br/>- FireTray.exe <br/>- UpdaterUI.exe <br/>- KVSrvXp_1.exe </p><p>4、修改Hosts文件禁止访问安全类网站:</p><p>127.0.0.1 localhost<br/>127.0.0.1 mmsk.cn<br/>127.0.0.1 ikaka.com<br/>127.0.0.1 safe.qq.com<br/>127.0.0.1 360safe.com<br/>127.0.0.1 <a href="http://www.mmsk.cn">www.mmsk.cn</a><br/>127.0.0.1 <a href="http://www.ikaka.com">www.ikaka.com</a><br/>127.0.0.1 tool.ikaka.com<br/>127.0.0.1 <a href="http://www.360safe.com">www.360safe.com</a><br/>127.0.0.1 zs.kingsoft.com<br/>127.0.0.1 forum.ikaka.com<br/>127.0.0.1 up.rising.com.cn<br/>127.0.0.1 scan.kingsoft.com<br/>127.0.0.1 kvup.jiangmin.com<br/>127.0.0.1 reg.rising.com.cn<br/>127.0.0.1 update.rising.com.cn<br/>127.0.0.1 update7.jiangmin.com<br/>127.0.0.1 download.rising.com.cn<br/>127.0.0.1 dnl-us1.kaspersky-labs.com<br/>127.0.0.1 dnl-us2.kaspersky-labs.com<br/>127.0.0.1 dnl-us3.kaspersky-labs.com<br/>127.0.0.1 dnl-us4.kaspersky-labs.com<br/>127.0.0.1 dnl-us5.kaspersky-labs.com<br/>127.0.0.1 dnl-us6.kaspersky-labs.com<br/>127.0.0.1 dnl-us7.kaspersky-labs.com<br/>127.0.0.1 dnl-us8.kaspersky-labs.com<br/>127.0.0.1 dnl-us9.kaspersky-labs.com<br/>127.0.0.1 dnl-us10.kaspersky-labs.com<br/>127.0.0.1 dnl-eu1.kaspersky-labs.com<br/>127.0.0.1 dnl-eu2.kaspersky-labs.com<br/>127.0.0.1 dnl-eu3.kaspersky-labs.com<br/>127.0.0.1 dnl-eu4.kaspersky-labs.com<br/>127.0.0.1 dnl-eu5.kaspersky-labs.com<br/>127.0.0.1 dnl-eu6.kaspersky-labs.com<br/>127.0.0.1 dnl-eu7.kaspersky-labs.com<br/>127.0.0.1 dnl-eu8.kaspersky-labs.com<br/>127.0.0.1 dnl-eu9.kaspersky-labs.com<br/>127.0.0.1 dnl-eu10.kaspersky-labs.com</p><p><br/>病毒2-熊猫烧香</p><p>病毒名称: 武汉男生,又名熊猫烧香病毒。”Worm.WhBoy.h“</p><p><br/>中毒症状:1. 拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设</p><p> 置为隐藏、只读、系统。</p><p> 2. 无法手工修改“文件夹选项”将隐藏文件显示出来。</p><p> 3. 在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期 如:2007-4-1</p><p> 4. 电脑上的所有脚本文件中加入一段代码:<iframe src=xxx width=”0” height=”0”></iframe></p><p> 5. 中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。</p><p> 6. 不能正常使用任务管理器及注册表。</p><p> 7. 无故的向外发包,连接局域网中其他机器。</p><p> 8. 感染其他应用程序的.exe文件,并改变图标颜色,但不会感染微软操作系统自身的文件。</p><p> 9. 删除GHOST文件(.gho后缀),网吧、学校和单位机房深受其害。</p><p> 10. 禁用常见杀毒工具。</p><p>病毒特征: 1. 关闭众多杀毒软件和安全工具。</p><p> 2. 循环遍历磁盘目录,感染文件,对关键系统文件跳过。</p><p> 3. 感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。<br/> <br/> 4. 感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码。<br/> <br/> 5. 自动删除*.gho文件。</p><p></p><p>发作症状:</p><p>1:拷贝文件</p><p>病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe</p><p>2:添加注册表自启动</p><p>病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare -> C:\WINDOWS\System32</p><p>\Drivers\spoclsv.exe</p><p>3:病毒行为</p><p>a:每隔1秒<br/>寻找桌面窗口,并关闭窗口标题中含有以下字符的程序</p><p>QQKav<br/>QQAV<br/>防火墙<br/>进程<br/>VirusScan<br/>网镖<br/>杀毒<br/>毒霸<br/>瑞星<br/>江民<br/>黄山IE<br/>超级兔子<br/>优化大师<br/>木马克星<br/>木马清道夫<br/>QQ病毒<br/>注册表编辑器<br/>系统配置实用程序<br/>卡巴斯基反病毒<br/>Symantec AntiVirus<br/>Duba<br/>esteem proces<br/>绿鹰PC<br/>密码防盗<br/>噬菌体<br/>木马辅助查找器<br/>System Safety Monitor<br/>Wrapped gift Killer<br/>Winsock Expert<br/>游戏木马检测大师<br/>msctls_statusbar32<br/>pjf(ustc)<br/>IceSword<br/>并使用的键盘映射的方法关闭安全软件IceSword</p><p><br/>并中止系统中以下的进程:<br/>Mcshield.exe<br/>VsTskMgr.exe<br/>naPrdMgr.exe<br/>UpdaterUI.exe<br/>TBMon.exe<br/>scan32.exe<br/>Ravmond.exe<br/>CCenter.exe<br/>RavTask.exe<br/>Rav.exe<br/>Ravmon.exe<br/>RavmonD.exe<br/>RavStub.exe<br/>KVXP.kxp<br/>kvMonXP.kxp<br/>KVCenter.kxp<br/>KVSrvXP.exe<br/>KRegEx.exe<br/>UIHost.exe<br/>TrojDie.kxp<br/>FrogAgent.exe<br/>Logo1_.exe<br/>Logo_1.exe<br/>Rundl132.exe</p><p>b:每隔18秒</p><p>点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,存在的话就运行net share命令关闭admin$共享。</p><p>c:每隔10秒</p><p>下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享。</p><p>d:每隔6秒</p><p>删除安全软件在注册表中的键值。</p><p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br/>RavTask<br/>KvMonXP<br/>kav<br/>KAVPersonal50<br/>McAfeeUpdaterUI<br/>Network Associates Error Reporting Service<br/>ShStartEXE<br/>YLive.exe<br/>yassistse</p><p>并修改以下值不显示隐藏文件</p><p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue -> 0x00</p><p>删除以下服务:<br/>navapsvc<br/>wscsvc<br/>KPfwSvc<br/>SNDSrvc<br/>ccProxy<br/>ccEvtMgr<br/>ccSetMgr<br/>SPBBCSvc<br/>Symantec Core LC<br/>NPFMntor<br/>MskService<br/>FireSvc</p><p>e:感染文件</p><p>病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一</p><p>旦打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:<br/>WINDOW<br/>Winnt<br/>System Volume Information<br/>Recycled<br/>Windows NT<br/>WindowsUpdate<br/>Windows Media Player<br/>Outlook Express<br/>Internet Explorer<br/>NetMeeting<br/>Common Files<br/>ComPlus Applications<br/>Messenger<br/>InstallShield Installation Information<br/>MSN<br/>Microsoft Frontpage<br/>Movie Maker<br/>MSN Gamin Zone</p><p> 二、实践学习手动查杀病毒。(针对病毒进行逆向操作)</p><p> 1.手动查杀“QQ巨盗”病毒程序。</p><p> 2.手动查杀“熊猫烧香”病毒程序。</p> <p>技术贴,支持一下!希望发布更多更好的文章!</p><br/>
页:
[1]