<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
對一款病毒(木馬)程序的分析普通用戶一聽到病毒(木馬)軟件,就會覺得很神祕,雖然它聽起來比較專業不是普通用戶所能掌握的,其實它們並不如想象中的那 麼神祕,所有病毒(木馬)軟件都要藉助一定的媒介和載體,網絡和優盤(移動設備等)是病毒傳播的主要媒介。病毒和木馬程序表現在細微之處,那就是它們必須 在磁盤中以文件形式存在,它們會採取一定的策略和多種方法來隱藏自己,因此通過跟蹤和分析病毒文件可以徹底的清除病毒(木馬)程序。本文就是從文件的角度 去清除一款病毒程序。(一)識別病毒在本文中已經對木馬病毒文件進行了精確的定位,即文件wmgtpvd.exe爲病毒文件。病毒文件的定位有以下幾種方式:(1)使用殺毒 軟件對磁盤文件進行殺毒掃描,掃描結束後,病毒軟件會顯示查殺結果,在這些結果中,查殺到的病毒文件往往以紅色進行醒目顯示。
(2)使用抓包工具進行端口監聽。計算機啓動後,默認狀況下不進行任何正常應用程序的網絡連接,如果在抓包工具中發現有網絡連接,那麼可以認爲,系統可能存在木馬程序,在對外進行網絡連接。
(3)使用一些進程查看軟件進行查看。
(二)查看病毒屬性選中“wmgtpvd.exe”文件後,右鍵單擊,在彈出的菜單中選擇“屬性”,然後在“wmgtpvd.exe屬性”中選擇“版本”進行版本信息等查看,如圖1所示。
圖1 查看病毒程序文件屬性
說明:(1)通過文件屬性可以查看該木馬程序的產品版本、產品名稱、公司以及語言等信息。通過文件屬性主要了解該病毒可能是來自那個國家,不過有些病毒編寫者會混淆語言,比如病毒編寫者是日本人,他的本國語言應該是日語,但他編寫的語言採用英語,因此查看文件屬性中顯示爲“English”,不能判斷該程序就是英國人編寫的。
(2)通過文件的描述進行相關搜索和判斷。透過文件描述來判斷該程序是否爲系統或者應用程序正常文件。這個判斷往往跟經驗相關,普通用戶判斷相對較難。不過網絡搜索可以解決該問題。打開瀏覽器後可以在百度以及Google等搜索引擎中查找該文件的相關信息,如圖2所示。在Google中沒有查到該病毒文件的任何信息,後面我又在百度中進行了搜索,也沒有任何結果。該文件太過於生疏,因此極有可能是非流行病毒程序。由於目前網絡用戶過億,很多用戶會在碰到病毒後將碰到的問題發表在bbs等處以獲取幫助。
圖2 通過Google等搜索引擎查找病毒信息
(三)通過工具軟件打開病毒文件,獲取病毒文件相關信息對於exe文件不要直接運行,可以使用Winhex或者UltraEdit等工具軟件使用二進制格式方式打開病毒文件,打開後依次從上往下查看右邊的信息,如圖3所示,可以發現該病毒文件是以將病毒插入到svchost.exe進程,且會訪問網站地址:http://zht.9966.org/worldmanage/default.aspx。
圖3 使用UltraEdit打開病毒文件
說明:(1)一般來講病毒文件不會將所有的字符串處理掉,因此總會在文件中保留一部分字符串,通過UltraEdit、WinHex等文件編輯或者OD等彙編工具打開病毒文件後可以查看留在文件中的字符串。通過這些字符串往往可以獲取一些重要信息,例如木馬訪問網站地址、木馬釋放文件、啓動方式等。
(2)一般來講,病毒軟件往往都會被加殼,在查看文件時可以先使用PEid、Fi等探殼程序進行查殼,直接將病毒文件拖進Peid窗口即可,如圖4所示,知道該文件沒有加殼,採用Microsoft Visual C++6.0編寫而成。
圖4 使用PEid查看病毒的殼
(3)在查看本病毒文件中還發現存在“cluslib.dll”這個文件,如圖5所示,該文件應該是一個服務加載程序。
圖5 獲取服務加載程序
(四)清除病毒文件清除病毒文件有多種方法,一種就是使用殺毒軟件查殺,該方式只能對已知病毒進行查殺,另外就是手工清除病毒文件,手工清除有純粹的手工刪除,還有一種是藉助安全檢查軟件來輔助刪除。下面給出一個手工刪除病毒文件的流程。
(1)使用經常管理器或者任務管理器結束病毒打開的進程。
(2)找到病毒文件所在的具體目錄,然後將病毒文件刪除掉。
(3)刪除病毒服務啓動選項。
(4)從註冊表中查找跟病毒文件名稱相關的信息,找到後,如果確認跟病毒相關則刪除掉。
(5)重新啓動計算機。使用端口檢查器以及進程查看器查看病毒是否仍然連接網絡和打開新的進程,如果沒有則表示病毒徹底的被清除掉了。
在對本病毒處理時,首先打開DOS命令提示符到目錄使用“dir cluslib.dll /s /a”命令查看文件,找到文件後使用兵刃(Icesword)軟件中的文件強制刪除將該文件刪除掉,然後刪除病毒主程序wmgtpvd.exe,最後刪除註冊表中有關wmgtpvd.exe、cluslib.dll的信息。重啓計算機後,對進程和端口檢查,一切正常,對該病毒處理完畢。
