科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道U盘病毒tel.xls.exe分析与清除方法详解

U盘病毒tel.xls.exe分析与清除方法详解

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早,之所以说它,

来源:比特网 2009年6月11日

关键字: 病毒查杀 U盘病毒

  • 评论
  • 分享微博
  • 分享邮件

  大家好!我接触病毒的时间已经比较久了,也曾经痴迷过一段时间。

  长期游荡在绅博/剑盟/中天/龙族,抓样本分析,测试等等。

  装过的杀软也接近百款了,现在虽然没有以前那么痴迷了,不过还是比较关注。

  最近在铁军的博客上看到金山论坛有这样一个活动,也想小试一下牛刀,班门弄斧一下。

  其实我的分析里面主要还是讲方法,希望大家也能掌握基本的病毒分析方法,

  期望能和大家共同进步!谢谢!

  今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早,之所以说它,

  是因为它是一个比较典型的优盘病毒,而且变种比较难以消灭。

  优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。

  当然也有后期的以vb脚本引导的,那就更难处理了,而且往往打不开优盘,

  可以用Win+R, 然后直接输入盘符名打开优盘。

  tel.xls.exe作为一个优盘病毒,也不例外。

  tel.xls.exe被感染后,会释放文件进入system32目录,同时会把自己复制到

  每一个盘符中,监听本地端口,窃取主机信息并发送,其行为类似木马。

  下面我来一步一步详细讲解:

  1.首先当然是构建测试环境,真机测试比较危险,不推荐。

  我用的是虚拟机,虚拟机优点是使用方便,而且不会影响实机。

  就是先期配置烦一点,而且对机器配置要求比较高。

  如果是配置差或者懒得去弄虚拟机,可以装个影子系统。

  Windows下的虚拟机又分VMWare和Virtual PC两种,实现虚拟的原理不同,目的是一样的。

  Virtual PC已经被微软收购,从07版开始只能在windows里虚拟windows,呵呵,垄断啊,

  不过有个好处,VPC2007是免费的。

  VMWare则可以在Windows下虚拟几乎所有操作系统,windows/dos/linux/freebsd等等。

  不过是收费软件。

  虚拟机装好之后,只要再安装一下软件自带的插件,就能与真机交换文件了。

  非常好用。另外,虚拟机一般用桥接网络上网,非常好用。

  我下面就以免费的VPC 2007来演示啦~

  2.其次是抓样本,当然你优盘里面有现成的样本就更好了

  有些论坛的样本区就有样本,上去下一个。

  3. (这个病毒破坏力太强,之前的英文版系统的svchost.exe被破坏,无法开机,

  不高兴修复了,直接改用新装的中文WinXP,所以这边会出现两个系统的截图)

  下载后解压,发现看不到文件,

  其实是因为病毒的文件属性是隐藏的系统文件。

  必须进文件夹选项修改一下,把划红线的地方修改一下,

  顺便把后缀也显示出来~

  文件就可见了~

  

  4.接下来,可以把文件传到多引擎扫描网站上看看,

  比如VirScan.org, 类似的网站还有Virus Total, Jotti’s Malware Scan等。

  一来可以“验明正身”,看看这个到底是不是病毒。

  而来可以看看各个厂商的结果,如果没有报的话,还可以向厂商上报~

  这边以“国产”的Virscan为例:

  

  毕竟是老病毒了,除了国外的冷门杀软,基本都报了。

  这无所谓,我们主要看的是病毒分析方法和过程,呵呵。

  5.为了分析病毒行为,可以放入沙盒(Sandbox) 测试。

  网上就有一个不错的现成的沙盒(Norman Sandbox),可以对文件行为做分析。

  只要上传文件,输入邮件地址,就能在邮箱收到报告。

  

  当然,这个沙盒的特点是现成的,操作简单速度快,不过结果也比较简单。

  真正要观察病毒的实际行为,可以在虚拟机里面用RegMon, FileMon,autorun, TCP/IP等来看。

  这些软件都是Sysinternal的,去年被微软收购了~ 当然,也可以用单机版的Sandbox来看,就是这个软件比较贵。

  6. 不一会,就收到了分析的邮件:

  

  释放的文件进程注册表修改、MD5等参数全部一次性拿到,方便啊~

  其实,对于一般用户来说,用一些好用的工具,例如金山清理专家或SREng同样能发现端倪:

  使用清理专家扫描,发现可疑启动项:

  

  全面扫描,发现更多可疑项:

  

  扫描恶意软件,发现autorun.inf

  

  再使用SREng扫描:

  

  附上SReng扫描报告,

  7.和沙盒的分析结果比对,多出一个叫 kill 的任务。如下图:

  

  多出一个mmc.exe进程,与沙盒分析结果吻合~

  

  8. 使用类似IceSword的工具结束进程。

  IceSword是中科大的pjf写的,由于使用了Windows核心的API,可以直接看到隐藏文件和进程,

  个人认为IceSword在处理两个进程互为保护的病毒时特别有效。可以同时结束两个进程。

  或锁住一个进程,不让其再生。这招对付进程互为保护的病毒非常不错。

  

  9. 进程对应的文件,与沙盒分析吻合,删除之~

  

  生成的另两个文件,删除之~

  

  10.Win+R, msconfig, 删除增加的启动项。

  

  11. mmc在监听本地3000端口。一旦联网,就会对外发送信息。

  

  12. 最后,用金山毒霸全盘扫描一下,“打扫”一下战场吧~

  因为生成的文件比较多,手工删的话也可以,先搜索文件再删除,

  不过用毒霸又快又方便!

  监控一开,立马开始删除~

  

  呵呵 已经感染exe了,扫描记录如下:

  

  svchost.exe受损,症状为再开机无法进入系统。进度条一直在走,

  

  插入光盘修复或进入Windows故障修复台,拷贝光盘原文件至硬盘修复即可~

  

  最后,附:VBS一次性清除代码:

  引用:

  on error resume next

  set w=getobject("winmgmts:")

  set p=w.execquery("select * from win32_process where name=’algsrv.exe’ or name=’SocksA.exe’")

  for each i in p

  i.terminate

  next

  set fso=createobject("scripting.filesystemobject")

  set del=wscript.createobject("wscript.shell")

  dim d(5)

  dim v(5)

  d(0)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\SocksA.exe")

  d(1)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\FileKan.exe")

  d(2)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\algsrv.exe")

  d(3)=del.ExpandEnvironmentStrings("%SystemRoot%\Session.exe")

  d(4)=del.ExpandEnvironmentStrings("%SystemRoot%\BACKINF.TAB")

  for i=0 to 1

  set v(i)=fso.getfile(d(i))

  v(i).attributes=0

  v(i).delete

  next

  set fso=createobject("scripting.filesystemobject")

  set drvs=fso.drives

  for each drv in drvs

  if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then

  set w=fso.getfile(drv.driveletter&":\tel.xls.exe")

  w.attributes=0

  w.delete

  set u=fso.getfile(drv.driveletter&":\AUTORUN.INF")

  u.attributes=0

  u.delete

  end if

  next

  set reg=wscript.createobject("wscript.shell")

  reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue",1,"REG_DWORD"

  reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue",2,"REG_DWORD"

  reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue",2,"REG_DWORD"

  reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue",2,"REG_DWORD"

  reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"

  reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"

  reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv"

  set fso=nothing

  msgbox "病毒清除成功,请重启电脑!",64,"tel.xls.exe病毒专杀"

  全文完~

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章