U盘病毒tel.xls.exe分析与清除方法详解

　　大家好!我接触病毒的时间已经比较久了，也曾经痴迷过一段时间。

　　长期游荡在绅博/剑盟/中天/龙族，抓样本分析，测试等等。

　　装过的杀软也接近百款了，现在虽然没有以前那么痴迷了，不过还是比较关注。

　　最近在铁军的博客上看到金山论坛有这样一个活动，也想小试一下牛刀，班门弄斧一下。

　　其实我的分析里面主要还是讲方法，希望大家也能掌握基本的病毒分析方法，

　　期望能和大家共同进步!谢谢!

　　今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早，之所以说它，

　　是因为它是一个比较典型的优盘病毒，而且变种比较难以消灭。

　　优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。

　　当然也有后期的以vb脚本引导的，那就更难处理了，而且往往打不开优盘，

　　可以用Win+R, 然后直接输入盘符名打开优盘。

　　tel.xls.exe作为一个优盘病毒，也不例外。

　　tel.xls.exe被感染后，会释放文件进入system32目录，同时会把自己复制到

　　每一个盘符中，监听本地端口，窃取主机信息并发送，其行为类似木马。

　　下面我来一步一步详细讲解：

　　1.首先当然是构建测试环境，真机测试比较危险，不推荐。

　　我用的是虚拟机，虚拟机优点是使用方便，而且不会影响实机。

　　就是先期配置烦一点，而且对机器配置要求比较高。

　　如果是配置差或者懒得去弄虚拟机，可以装个影子系统。

　　Windows下的虚拟机又分VMWare和Virtual PC两种，实现虚拟的原理不同，目的是一样的。

　　Virtual PC已经被微软收购，从07版开始只能在windows里虚拟windows，呵呵，垄断啊，

　　不过有个好处，VPC2007是免费的。

　　VMWare则可以在Windows下虚拟几乎所有操作系统，windows/dos/linux/freebsd等等。

　　不过是收费软件。

　　虚拟机装好之后，只要再安装一下软件自带的插件，就能与真机交换文件了。

　　非常好用。另外，虚拟机一般用桥接网络上网，非常好用。

　　我下面就以免费的VPC 2007来演示啦~

　　2.其次是抓样本，当然你优盘里面有现成的样本就更好了

　　有些论坛的样本区就有样本，上去下一个。

　　3. (这个病毒破坏力太强，之前的英文版系统的svchost.exe被破坏，无法开机，

　　不高兴修复了，直接改用新装的中文WinXP，所以这边会出现两个系统的截图)

　　下载后解压，发现看不到文件，

　　其实是因为病毒的文件属性是隐藏的系统文件。

　　必须进文件夹选项修改一下，把划红线的地方修改一下，

　　顺便把后缀也显示出来~

　　文件就可见了~

　　

　　4.接下来，可以把文件传到多引擎扫描网站上看看，

　　比如VirScan.org, 类似的网站还有Virus Total, Jotti’s Malware Scan等。

　　一来可以“验明正身”，看看这个到底是不是病毒。

　　而来可以看看各个厂商的结果，如果没有报的话，还可以向厂商上报~

　　这边以“国产”的Virscan为例：

　　

　　毕竟是老病毒了，除了国外的冷门杀软，基本都报了。

　　这无所谓，我们主要看的是病毒分析方法和过程，呵呵。

　　5.为了分析病毒行为，可以放入沙盒(Sandbox) 测试。

　　网上就有一个不错的现成的沙盒(Norman Sandbox)，可以对文件行为做分析。

　　只要上传文件，输入邮件地址，就能在邮箱收到报告。

　　

　　当然，这个沙盒的特点是现成的，操作简单速度快，不过结果也比较简单。

　　真正要观察病毒的实际行为，可以在虚拟机里面用RegMon, FileMon,autorun, TCP/IP等来看。

　　这些软件都是Sysinternal的，去年被微软收购了~ 当然，也可以用单机版的Sandbox来看，就是这个软件比较贵。

　　6. 不一会，就收到了分析的邮件：

　　

　　释放的文件进程注册表修改、MD5等参数全部一次性拿到，方便啊~

　　其实，对于一般用户来说，用一些好用的工具，例如金山清理专家或SREng同样能发现端倪：

　　使用清理专家扫描，发现可疑启动项：

　　

　　全面扫描，发现更多可疑项：

　　

　　扫描恶意软件，发现autorun.inf

　　

　　再使用SREng扫描：

　　

　　附上SReng扫描报告，

　　7.和沙盒的分析结果比对，多出一个叫 kill 的任务。如下图：

　　

　　多出一个mmc.exe进程，与沙盒分析结果吻合~

　　

　　8. 使用类似IceSword的工具结束进程。

　　IceSword是中科大的pjf写的，由于使用了Windows核心的API，可以直接看到隐藏文件和进程，

　　个人认为IceSword在处理两个进程互为保护的病毒时特别有效。可以同时结束两个进程。

　　或锁住一个进程，不让其再生。这招对付进程互为保护的病毒非常不错。

　　

　　9. 进程对应的文件，与沙盒分析吻合，删除之~

　　

　　生成的另两个文件，删除之~

　　

　　10.Win+R, msconfig, 删除增加的启动项。

　　

　　11. mmc在监听本地3000端口。一旦联网，就会对外发送信息。

　　

　　12. 最后，用金山毒霸全盘扫描一下，“打扫”一下战场吧~

　　因为生成的文件比较多，手工删的话也可以，先搜索文件再删除，

　　不过用毒霸又快又方便!

　　监控一开，立马开始删除~

　　

　　呵呵 已经感染exe了，扫描记录如下：

　　

　　svchost.exe受损，症状为再开机无法进入系统。进度条一直在走，

　　

　　插入光盘修复或进入Windows故障修复台，拷贝光盘原文件至硬盘修复即可~

　　

　　最后，附：VBS一次性清除代码：

　　引用:

　　on error resume next

　　set w=getobject("winmgmts:")

　　set p=w.execquery("select * from win32_process where name=’algsrv.exe’ or name=’SocksA.exe’")

　　for each i in p

　　i.terminate

　　next

　　set fso=createobject("scripting.filesystemobject")

　　set del=wscript.createobject("wscript.shell")

　　dim d(5)

　　dim v(5)

　　d(0)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\SocksA.exe")

　　d(1)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\FileKan.exe")

　　d(2)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\algsrv.exe")

　　d(3)=del.ExpandEnvironmentStrings("%SystemRoot%\Session.exe")

　　d(4)=del.ExpandEnvironmentStrings("%SystemRoot%\BACKINF.TAB")

　　for i=0 to 1

　　set v(i)=fso.getfile(d(i))

　　v(i).attributes=0

　　v(i).delete

　　next

　　set fso=createobject("scripting.filesystemobject")

　　set drvs=fso.drives

　　for each drv in drvs

　　if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then

　　set w=fso.getfile(drv.driveletter&":\tel.xls.exe")

　　w.attributes=0

　　w.delete

　　set u=fso.getfile(drv.driveletter&":\AUTORUN.INF")

　　u.attributes=0

　　u.delete

　　end if

　　next

　　set reg=wscript.createobject("wscript.shell")

　　reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue",1,"REG_DWORD"

　　reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue",2,"REG_DWORD"

　　reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue",2,"REG_DWORD"

　　reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue",2,"REG_DWORD"

　　reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"

　　reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"

　　reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv"

　　set fso=nothing

　　msgbox "病毒清除成功，请重启电脑!",64,"tel.xls.exe病毒专杀"

　　全文完~