前言
由於平時工作需要,需要爲客戶提供一些病毒清除及響應工程。在近期的一些工作總結中,發現目前的病毒還挺有“組織協調”能力,遠不止以前的“單兵作戰”,逐漸向“病毒職業化”方向了,清除難度也大大增加,於是有了以下 “反病毒響應工程”中一文。
比如,一個病毒或***,負責從其他渠道進來(如網頁掛馬、局域網共享、U盤感染、遠程溢出***等方式),按功能定義的話,簡單稱之爲“***組”,他負責在客戶的電腦佔領一席之地。然後,配合遠程指令裏應外合,按照不同的需求DownLoad其他組的成員,比如“抗干擾組”或“清除障礙組”(比如,清除殺毒軟件、干擾殺毒軟件正常殺毒功能等),如果是基於竊取QQ或某類遊戲密碼或裝備,則調用“分析判斷組”,之後協調“竊聽組”。如此周密地行動。
碰到的問題
時間:2007-11-10 (週六)
地點:某市某區科技園
環境:Windows 2000操作系統 & 熱血江湖之類的網遊(客戶的熱愛)
故障檢測:
1、打開網頁,時不時正常訪問,表面看上去似乎是網絡通信問題;
2、使用“安全分析專家”檢查發現較多隱藏的問題(Autoruns無法檢查出ShellExecuteHooks);
3、部分註冊表RUN自啓動項,刪除後,自動被恢復;(無法刪除註冊表鍵值)
4、將“安全分析專家”檢查出來的可疑病毒,手工清除無效,使用IceSword強力清除,可以清除,但還是被恢復;(有監控線程注入到系統進程中,負責病毒體的反刪除與恢復)
總結問題
從故障及清除過程來看,該病毒***採用了多種頑固手法以提高殺毒軟件或手工清除的難度。並結合一些自我恢復手段保障病毒體的完整。
頑固手法及自我恢復手法清單:
1、無法刪除病毒體文件;
2、無法刪除註冊表自啓動加載的鍵值;
3、掛鉤SSDT,實時監控並恢複相關的註冊表、文件內容;
4、掛鉤ShellExecuteHooks,使用Explorer 資源管理器自動加載其病毒本身;
5、掛鉤Svchost.exe系統服務中,註冊ServiceDLL,或篡改系統正常的ServiceDLL;
6、掛鉤WinSock LSP;
7、病毒體隨機性,以 *door?.dll 的形式變換;
解決方案
針對以上問題,不難發現當前病毒的一種協同合作,分工明細。不亞於公司團隊的職責制。那麼,如何解決這種問題呢?
從頑固病毒所採用的保護手段,我們可以逐一瓦解,最後再清除病毒體,因此,在看本文時,你可以參考解決方案是從下往上看。
處理過程:
1、使用“終截者抗病毒軟件”中的功能“安全迴歸”,系統重新啓動後,會通過自己特有的一套處理機制,將系統未通過驗證的服務與自啓動禁止系統加載其本身;其中“安全迴歸”功能還可以起到禁止加載ShellExecuteHooks所指向的DLL;達到很好的迅速回歸到“安全狀態”;
2、經過“終截者-安全迴歸”之後,可以清除大部分病毒體,但還有部分以“*door1.dll”(星號表示這些病毒體有隨機性),還是沒有最終發現出來的頑固病毒。(經檢查這是終截者抗病毒軟件安全迴歸功能需要改進的地方,有些ServiceDLL似乎沒有攔截到)
3、使用Windows系統所特有的NTFS權限設置方法,將需要處理的頑固病毒列表,逐個賦予“Administrators”、“System”、“Everyone”三個組的權限爲“所有拒絕”。禁止系統加載讀取與加載該病毒體。
4、使用IceSword 文件強制刪除功能,清除頑固病毒列表中的病毒體。
5、刪除電腦網卡驅動程序,並重新安裝網卡驅動;起到清除WinSock LSP劫持,恢復正常LSP瀏覽鏈;
6、重新啓動電腦,檢查下清除結果:OK ! 系統各方面使用恢復正常,網絡訪問正常。
“安全迴歸”頑固病毒--終截者
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
Linux基本操作命令
wbzjacky
2019-02-24 13:12:38
真實的模擬***綜合實驗
wbzjacky
2019-02-24 13:12:37
三層交換機的HSRP、vlan、端口聚合
wbzjacky
2019-02-24 13:12:37
HSRP和二層交換機的端口聚合、vlan
wbzjacky
2019-02-24 13:12:37
如果同事暗中傷害你,應該怎麼辦?
這個饅頭有餡
2019-02-24 13:59:08
職場中,抱怨越多的員工,越被領導瞧不起!
這個饅頭有餡
2019-02-24 13:59:08
老程序員被裁,應屆生卻能月薪 1.3 萬?這你能忍?
前端高達
2019-02-24 13:48:04
遇到到處蹭吃卻從不請客吃飯的主怎麼辦?
樑軍年
2019-02-24 13:26:35
高標準機房綜合配線安裝
wbzjacky
2019-02-24 13:12:38
IPsec ***實驗
wbzjacky
2019-02-24 13:12:37
CISCO路由AAA的Easy ***
wbzjacky
2019-02-24 13:12:37
CISCO訪問控制列表 企業網絡管理的必殺技
wbzjacky
2019-02-24 13:12:37