清理破坏杀软安装类型病毒

　　很感激有些病毒作者给我们扫了盲:让我们知道了,原来病毒不一定非得偷偷摸摸,他们也可以很高调的反攻杀软.

　　熊猫烧香的快速变种,磁碟机的消息泛洪,都给我们上了生动却残酷的一课.

　　今天我们来处理的这个病毒样本很有趣,会导致金山无法安装.病毒使用的方法并不复杂,或者说其中的很多方法我们都经常使用.......废话说完了,还是一起看看吧...特别感谢:songbowen给我提供样本....

　　症状:金山毒霸安装程序无法运行,提示安装程序已经损坏,其实是完好的.图一.

　　这时候我们就要回忆下了,干扰杀软的安装过程,有几种方式.列举下比较常见的:

　　1.映像劫持.

　　2.直接关闭杀软安装程序:

　　findWindow+sendkey(查找窗口名后模拟按键)

　　CreateToolhelpSnapsho+ProcessFirst+ProcessNext+OpenProcess+TerminateProcess+CloseHandle(枚举进程后杀掉)

　　SSDT-hook(文件名=安装程序直接返回error)

　　findWindow+postmessage(发送WM_close消息)

　　消息泛洪(磁碟机用的)等方式.

　　3.先入为主,通过创建同名文件夹、注册表键值(记得免疫auto病毒了吗?)的方式,干扰安装.

　　4.修改权限,导致文件写入或者注册表写入失败.

　　逆向思维这时候发挥作用了,如果你是病毒作者,你会怎么做?肯定是分析金山的安装过程了!那还等什么呢?Go!

　　怎么分析你随意吧......推荐个国产软件:EQ,就蛮不错.

　　分析后的结果,整理如下:

　　1.安装文件释放实际的安装程序到temp文件夹,文件名为kav+一个随机字符.

　　2.执行安装程序.

　　3.完成安装.

　　之前我们已经介绍过干扰的方法,下面我们看看其中哪些可能被病毒作者利用,以及如何应对.

　　1.映像劫持要求文件名精确匹配,而金山安装时使用了随机文件名,因此这项很难利用.但由于文件名具有规律性,不排除病毒作者穷举键值.这项我们通过删除相关键值的方法即可消除.

　　2.这里的方法基本上都能实现.解决也很简单,结束病毒进程即可.

　　3.这一项应该分为两部分来看:一是与安装程序同名,就是穷举.二是与安装后的程序同名.前者没必要解释了,就说后者.有朋友说,你又不知道我把程序要安到哪,你怎么先入为主.别忘了杀软要安装驱动,而驱动文件的路径是固定的......所以,这就是安全中的薄弱点.根据木桶理论和墨菲法则,嘿嘿,结果不言而喻了.这部分同样,删除同名文件夹即可.

　　4.这个要具体检查了.

　　上面我们具体分析了病毒作者的伎俩,下面我们逐项检查吧....

　　1.发现大量病毒键值,删除之.如图二

　　2.发现一个违章进程,结束之.如图三

　　如果你不知道哪个是病毒,先进行后面几步!

　　3.temp文件夹发现大量文件夹,清空之.如图四

　　删除失败?原来里面有个畸形文件夹,用DOS命令干掉吧!如图五.

　　命令为(假设系统盘为C):

　　RD /S /Q C:\WINDOWS\temp (删除temp下所有文件夹,包括temp)

　　MD C:\WINDOWS\temp (重建temp文件夹)

　　drivers目录下发现同名文件夹,删除方法同上.如图六

　　4.没发现什么问题.

　　这时候回到2,如果忽略了2,你会发现仍然打不开安装程序,程序一闪就消失,这时候试试其他软件,比如wsyscheck,你可以轻松看到违章的进程.图七红色的那个.

　　[attach]16215133[/attach]

　　至此,整个病毒清理结束.很多朋友碰到这种无法安装杀软的病毒往往是重装了事.这篇文章希望能给大家一点启示,相信自己,很多事情没那么复杂!

　　我顺手做了个小程序,可以处理这种病毒造成的问题.请使用前先结束病毒进程,再运行.如图八