对一款病毒（木马）程序的分析

（三）通过工具软件打开病毒文件，获取病毒文件相关信息

对于exe文件不要直接运行，可以使用Winhex或者UltraEdit等工具软件使用二进制格式方式打开病毒文件，打开后依次从上往下查看右边的信息，如图3所示，可以发现该病毒文件是以将病毒插入到svchost.exe进程，且会访问网站地址：http://zht.9966.org/worldmanage/default.aspx。

图3 使用UltraEdit打开病毒文件

说明：

（1）一般来讲病毒文件不会将所有的字符串处理掉，因此总会在文件中保留一部分字符串，通过UltraEdit、WinHex等文件编辑或者OD等汇编工具打开病毒文件后可以查看留在文件中的字符串。通过这些字符串往往可以获取一些重要信息，例如木马访问网站地址、木马释放文件、启动方式等。

（2）一般来讲，病毒软件往往都会被加壳，在查看文件时可以先使用PEid、Fi等探壳程序进行查壳，直接将病毒文件拖进Peid窗口即可，如图4所示，知道该文件没有加壳，采用MicrosoftVisual C＋＋6.0编写而成。

图4 使用PEid查看病毒的壳

（3）在查看本病毒文件中还发现存在“cluslib.dll”这个文件，如图5所示，该文件应该是一个服务加载程序。

图5 获取服务加载程序

（四）清除病毒文件

清除病毒文件有多种方法，一种就是使用杀毒软件查杀，该方式只能对已知病毒进行查杀，另外就是手工清除病毒文件，手工清除有纯粹的手工删除，还有一种是借助安全检查软件来辅助删除。下面给出一个手工删除病毒文件的流程。

（1）使用经常管理器或者任务管理器结束病毒打开的进程。

（2）找到病毒文件所在的具体目录，然后将病毒文件删除掉。

（3）删除病毒服务启动选项。

（4）从注册表中查找跟病毒文件名称相关的信息，找到后，如果确认跟病毒相关则删除掉。

（5）重新启动计算机。使用端口检查器以及进程查看器查看病毒是否仍然连接网络和打开新的进程，如果没有则表示病毒彻底的被清除掉了。

在对本病毒处理时，首先打开DOS命令提示符到目录使用“dir cluslib.dll /s /a”命令查看文件，找到文件后使用兵刃（Icesword）软件中的文件强制删除将该文件删除掉，然后删除病毒主程序wmgtpvd.exe，最后删除注册表中有关wmgtpvd.exe、cluslib.dll的信息。重启计算机后，对进程和端口检查，一切正常，对该病毒处理完毕。