“安全迴歸”頑固病毒--終截者

前言
     由於平時工作需要，需要爲客戶提供一些病毒清除及響應工程。在近期的一些工作總結中，發現目前的病毒還挺有“組織協調”能力，遠不止以前的“單兵作戰”，逐漸向“病毒職業化”方向了，清除難度也大大增加，於是有了以下 “反病毒響應工程”中一文。
     比如，一個病毒或***，負責從其他渠道進來（如網頁掛馬、局域網共享、U盤感染、遠程溢出***等方式），按功能定義的話，簡單稱之爲“***組”，他負責在客戶的電腦佔領一席之地。然後，配合遠程指令裏應外合，按照不同的需求DownLoad其他組的成員，比如“抗干擾組”或“清除障礙組”（比如，清除殺毒軟件、干擾殺毒軟件正常殺毒功能等），如果是基於竊取QQ或某類遊戲密碼或裝備，則調用“分析判斷組”，之後協調“竊聽組”。如此周密地行動。

碰到的問題
時間：2007-11-10  （週六）
地點：某市某區科技園
環境：Windows 2000操作系統 & 熱血江湖之類的網遊(客戶的熱愛)
故障檢測：
        1、打開網頁，時不時正常訪問，表面看上去似乎是網絡通信問題；
        2、使用“安全分析專家”檢查發現較多隱藏的問題（Autoruns無法檢查出ShellExecuteHooks）；
        3、部分註冊表RUN自啓動項，刪除後，自動被恢復；（無法刪除註冊表鍵值）
        4、將“安全分析專家”檢查出來的可疑病毒，手工清除無效，使用IceSword強力清除，可以清除，但還是被恢復；（有監控線程注入到系統進程中，負責病毒體的反刪除與恢復）

總結問題
    從故障及清除過程來看，該病毒***採用了多種頑固手法以提高殺毒軟件或手工清除的難度。並結合一些自我恢復手段保障病毒體的完整。

頑固手法及自我恢復手法清單：
        1、無法刪除病毒體文件；
        2、無法刪除註冊表自啓動加載的鍵值；
        3、掛鉤SSDT，實時監控並恢複相關的註冊表、文件內容；
        4、掛鉤ShellExecuteHooks，使用Explorer 資源管理器自動加載其病毒本身；
        5、掛鉤Svchost.exe系統服務中，註冊ServiceDLL，或篡改系統正常的ServiceDLL；
        6、掛鉤WinSock LSP；
        7、病毒體隨機性，以 *door?.dll 的形式變換；
解決方案
     針對以上問題，不難發現當前病毒的一種協同合作，分工明細。不亞於公司團隊的職責制。那麼，如何解決這種問題呢？
     從頑固病毒所採用的保護手段，我們可以逐一瓦解，最後再清除病毒體，因此，在看本文時，你可以參考解決方案是從下往上看。

處理過程：
     1、使用“終截者抗病毒軟件”中的功能“安全迴歸”，系統重新啓動後，會通過自己特有的一套處理機制，將系統未通過驗證的服務與自啓動禁止系統加載其本身；其中“安全迴歸”功能還可以起到禁止加載ShellExecuteHooks所指向的DLL；達到很好的迅速回歸到“安全狀態”；
    2、經過“終截者-安全迴歸”之後，可以清除大部分病毒體，但還有部分以“*door1.dll”（星號表示這些病毒體有隨機性），還是沒有最終發現出來的頑固病毒。（經檢查這是終截者抗病毒軟件安全迴歸功能需要改進的地方，有些ServiceDLL似乎沒有攔截到）
    3、使用Windows系統所特有的NTFS權限設置方法，將需要處理的頑固病毒列表，逐個賦予“Administrators”、“System”、“Everyone”三個組的權限爲“所有拒絕”。禁止系統加載讀取與加載該病毒體。
    4、使用IceSword 文件強制刪除功能，清除頑固病毒列表中的病毒體。
    5、刪除電腦網卡驅動程序，並重新安裝網卡驅動；起到清除WinSock LSP劫持，恢復正常LSP瀏覽鏈；
    6、重新啓動電腦，檢查下清除結果：OK ！ 系統各方面使用恢復正常，網絡訪問正常。