7月15日凌晨,从网友手中找到一款比较强的“随机8位数”病毒,此病毒是我至今预见的一个棘手的病毒,它针对IceSword和Sreng都有了新的方法和对策,给人们敲响了一个警钟。
7月15日凌晨,从网友手中找到一款比较强的“随机8位数”病毒,交给mopery进行分析。
截获过程见:http://blog.sina.com.cn/u/56b232db010009zq。mopery的分析见:http://blog.sina.com.cn/u/56b232db01000a1p。
自己也进行了基本测试,运用regshot和filemon两款软件进行了文件添加修改和注册表添加修改的监视工作。它修改很多注册表项目,我不了解它们的意思,这里还要谢谢mopery,是他的分析报告,让我知道了这些注册表项目,并学习记住它们。
言归正传,此病毒是我至今预见的一个棘手的病毒,它针对IceSword和Sreng都有了新的方法和对策,给人们敲响了一个警钟。
最初,IceSword只能通过进程名称结束或者修改IFEO,而改一下名称,进程名称也随之变化,这一招就失去作用,所以使很多病毒无可奈何。我也曾经在《黑客防线》杂志上,看见一位作者讨论如何才禁止IceSword,最后结果也极为复杂,我能力太差,没有看明白。那篇文章也只是一个思路,估计实施起来比较麻烦。但是这个病毒做到了,病毒作者换了一种思考方式,既然像IceSword这样的软件,我无法通过进程、标题等常规方法彻底结束,那么就从另一个角度去想,既然我无法结束,那么我让你正常运行,但是却不让用户正常使用。这就产生了mopery在他的原文备注中写得那个方法(见:http://www.vaid.cn/blog/read.php?18),真的很佩服这个病毒的作者,能换个角度去想。
说了这么多,我还是要说,这个方法对于使用IceSword到底有多少影响。在我用虚拟机试验这个病毒的时候,我病毒不知道IceSword有新的版本,也不知道为什么此病毒可以把IceSword最小化,但是通过仔细观察,发现这个最小化有个时间差,可能因为计算机速度或者其他原因,当IceSword窗口被激活时,总要有一定时间(2-5S)才可以被病毒最小化,那我们何不利用这个时间呢?
当时,我并不知道IceSword有最新版本,后来发现最新版本的IceSword也只有英文版本,使用起来没有1.20的中文版本方便,所以就有了一下的应对措施和杀毒过程。
我的应对措施也就出现了:利用IceSword快速执行一步操作后,马上把IceSword修改为不活动程序,这样可以保持IceSword不被病毒最小化。在分析一下,IceSword被病毒最小化是因为病毒正在运行,那么我就利用上面的操作快速结束掉病毒的进程。试验发现,这个方法成功了。
下面我要叙述一下我自己的手工杀毒方法(利用IceSword 1.20 中文版):
第一步:修改IceSword.exe为其他文件名,比如为1.exe,然后运行IceSword,看到IceSword界面的同时,快速点击桌面上的任意位置,保持IceSword界面不被激活。
说明:此步为了防止病毒的IFEO劫持,改名运行冰刃,并在运行后使其进入不激活状态。
第二步:快速点击,激活IceSword,快速点击进程选项,点击桌面上其他位置,然后再激活IceSword,再快速结束explorer.exe,再点击桌面其他位置。
说明:通过Sreng的扫描日志,此病毒通过dll文件插入exe进程来运行,除了explorer.exe外,还有很多exe被插入此dll文件,但是当explorer.exe被结束后,病毒就无法再使IceSword 1.20 中文版反复最小化了。
第三步:激活IceSword,这时IceSword就可以正常使用,继续进行杀毒工作。打开IceSword左下角的“注册表”,按照mopery中的顺序,修改注册表文件。打开下面的“文件”,利用强制删除删除掉病毒在每一个盘符下生成的auorun.inf和{随机8位}.exe文件。
说明:删除注册表的顺序是:病毒自启动项目——病毒IFEO劫持——修复windows安全中心的修改——修复显示所有文件。具体修复方法这里不介绍了。
第四步:重新启动计算机,此时病毒已经不随计算机启动了。
说明:经过试验发现,此时IceSword无法删除病毒的主文件,这是一个问题,我不知道因为什么原因,总觉得此时IceSword拿到的并不是最高的权限,病毒的主文件删除了还有。
第五步:利用运行,打开cmd输入以下命令删除文件
cd c:\Progra~1\Common~1\Micros~1\MSINFO\
del {随机8位}.dat /f /a
del {随机8位}.dll /f /a
cd c:\windows\help
del {随机8位}.chm /f /a
cd c:\windows\
del {随机8位}.hlp /f /a
说明:这里写的是DOS命令,其中文件名和具体路径要根据具体情况进行修改。
这时,这个病毒已经基本清除干净,可以再利用杀毒软件进行全盘查杀。
通过这个,我学习到了,对于任何病毒,都要灵活处理,总会有办法解决的。
再次感谢mopery这次的帮助。
京公网安备 11010802021500号