查看完整版本: 【何必说恨教你黑客网络安全技术】第三讲：和病毒战斗到底

【何必说恨教你黑客网络安全技术】第三讲：和病毒战斗到底

[color=red]      前几个月同学电脑里的瑞星打不开了，怀疑是中毒了，于是把我这个“高手”请去了。打开Windows的任务管理器，很容易就发现了两个可疑进程——qjhousw.exe和iwiwoui.exe。可是当我使用任务管理器结束上面任意一个进程时，任务管理器却自动关闭了，而且冰刃和其他几个常用的进程管理工具也不能运行了。[/color]
[color=red]      既然辅助工具不能使用，我们就用强大的命令提示符，ntsd命令可以结束一些常规情况下结束不了的进程。由于这两个病毒是互相监视和保护的，我只好写了个批量处理文件来结束他们，在记事本中输入以下内容：[/color]
[color=red][/color]
[color=red]ntsd -a q -p 444[/color]
[color=red]ntsd -a q -p 666[/color]
[color=red][/color]
[color=red]     444和666为qjhousw.exe和iwiwoui.exe两个病毒进程的pid号，这个可以在任务管理器中查到。将文件另存为OK.bat，运行OK.bat就可以将上面两个进程同时结束。病毒的进程结束后就可以删除病毒文件了，不过因为这时不能查看隐藏文件，所以还无法找到病毒文件所保存的正常位置，我使用了注册表导入法后，也不能显示隐藏文件。我只好在“开始”——“运行”栏输入Msconfig，打开了“系统配置实用程序”，根据“系统配置实用程序”中病毒文件路径，在命令提示符下执行dir /a（参数a是显示所有文件包括隐藏和系统文件）命令行查找。分别在C：\program files\common flies\microsoft shared\和C：\program files\common flies\system目录下找到qjhousw.exe和iwiwoui.exe文件，在每个分区的根目录下还可以找到vleoscg.exe和autorun.inf文件。使用“attrib”明令取消上面几个文件和隐藏属性后，在使用del命令删除就可以了。[/color]
[color=red]     回到系统配置实用程序，在“启动”项中将qjhousw.exe和iwiwoui.exe这两个病毒进程禁止随系统启动，然后运行杀毒软件对硬盘所有分区进行全面杀毒。在使用360或金山清理专家扫描清理后就基本完成杀毒工作了，为了搞清楚病毒工作原理，删除前我将几个病毒文件拷贝到U盘里，好带回家继续研究。[/color]
[color=#ff0000][/color]
[color=#ff0000][/color]
[color=#ff0000][/color]
[color=#ff0000] [/color]
[color=deepskyblue]     回到家后，在我的电脑上对U盘进行杀毒，瑞星提示是Worm.Win32.AvKiller.cv病毒，卡巴斯基提示是Worm.Win32.AutoRun.ast病毒。根据瑞星病毒库资料得知这是一种木马，但没有很详细的资料。为了了解病毒的工作过程，可以使用文件监视工具“Total Uninstall”来监视病毒对文件和注册表的修改。运行病毒前使用“Total Uninstall”生成一个快照。，运行病毒文件vleoscg.exe后再生成一个快照。我发现病毒除了生成qjhousw.exe和iwiwoui.exe这两个文件外，还在同目录下生成yqpylrr.inf文件，在Program Files文件的根目录生成了meex.exe文件。修改系统文件verclsid.exe重命名为verclsids.exe，并且将卡巴斯基文件fidbox.dat和fidbox2.dat也修改了，我还看到病毒在注册表中增加了很多键值。[/color]
[color=deepskyblue]    我们来分析一下上面这几个病毒文件，qjhousw.exe，iwiwoui.exe，meex.exe，vleoscg.exe这4个文件实际上是同一个文件。任何一个文件运行后都可以激活病毒。对于fidbox.dat和fidbox2.dat这两个文件（只有安装过卡巴斯基才会有这两个文件），网上曾有好多人询问这到底是干什么的？我简单解释一下，这两个文件确实是卡巴斯基的关键系统文件，可为什么很多杀毒软件回报毒呢？使用过卡巴斯基的人都知道第一次全盘扫描需要很长时间，以后再扫描速度就会很快。就是因为卡巴斯基用了iChecker技术和iSwift技术的原因。fidbox.dat和fidbox2.dat这两个文件就是卡巴斯基的iChecker技术和iSwift技术的核心。这种新技术的作用就是假如你的卡巴斯基扫描设置（安全威胁特征库和设置）没有改变，使用这个技术就可以加快扫描速度，跳过那些在上次扫描后没有改变的文件。看到这里，大家明白了吗？病毒修改fidbox.dat和fidbox2.dat这两个文件的目的，就是使卡巴斯基扫描文件时跳过病毒可能存在的文件（文件夹），这样就可以更好地隐藏病毒本身。对于这两个正常状态下不能复制不能修改的文件，病毒居然很容易的修改了，并且卡巴斯基没有发现被修改，并且继续使用这两个文件，可见病毒作者不仅对Windows系统进行了深入的研究，还对卡巴斯基也进行了很细致的研究！[/color]
[color=#00bfff]    在网上下载一个功能强大并且没有被病毒屏蔽的工具——Wsyscheck，它具有进程管理，安全检查，注册表管理等功能。运行该工具后，在“进程管理”菜单中，显示红色的为非微软进程，紫红色的表示虽然是微软进程，但是其模块里有非微软文件，这个对于广大用户查找可疑进程带来了很大方便，我们红容易找到红色的qjhousw.exe，iwiwoui.exe这两个进程。先选中这两个进程，然后在进程上点鼠标右键，选择“结束选择进程”，就可以把这两个进程同时结束掉。[/color]
[color=#00bfff]    打开Wsyscheck的“安全检查”菜单中的“端口状态”，我看到了我的电脑通过qjhousw.exe进程已经和IP地址为61.191.55.52的服务器建立了连接。经过查询，此服务器为虚拟主机，上边有23个站点。另一个IP为222.172.81.30，与机器狗病毒常用的连接IP是一样的。所以我断定这个病毒的作者很可能就是机器狗病毒的制作者。在“安全检查”菜单的“活动文件”中可以看到启动时加载的各个程序，在“常规检查”的右边可以看到映像劫持的注册表，点右键选择“允许这个程序运行”就可以将被劫持的注册表删除。[/color]
[color=#00bfff]    如果你发现感染病毒后即使断开网络连接，然后将上面的病毒文件找到并删除，再使用360或金山清理专家清理一下注册表就基本完成病毒的清理工作了。但是倘若你感染病毒后没有及时断开网络连接的话，qjhousw.exe进程几分钟后就会下载很多文件，在C：\Program Flies\Common Flies目录下能够发现一个名为dld.dat的文件，是用记事本打开该文件就可以看到其内容只有一句话“http：/qq.90356.com.cn/downl/1221.exe”（这个服务器也和机器狗连接的地址一样）。下载did.dat文件后，大多数情况下病毒就不能再下载其他病毒文件了，此时系统虽然有qjhousw.exe和iwiwoui.exe这两个病毒进程在运行，但是系统运行速度几乎和正常时一样，不像某些病毒运行后严重占用系统资源，使启动和运行速度明显变慢，从而暴露自己，这就是此病毒的高明之处。但这只是表面现象，事实上隐藏着更大的阴谋，一旦下载的1221.exe程序在某些条件下运行（病毒制造者可能通过网络随时控制这个程序），马上产生一个名为syswfgwd2.dll的系统属性文件，然后将这个文件插入到浏览器或其它系统进程中，开始从网上下载大量的病毒文件，访问恶意网页，盗取游戏号，QQ密码，，最后耗尽资源使你的系统崩溃。我猜想病毒作者更大的阴谋就是随时启动1221.exe程序来下载病毒，然后利用中毒的电脑访问某个网站以增加某个网站的流量，或攻击某网站使其瘫痪，感觉和网络僵尸的性质差不多啊，有兴趣的朋友可以根据上面的地址下载1221.exe后进行测试，以证明我的猜想是否有误。另外由于病毒作者可以随时免杀1221.exe和更改1221.exe程序然后下载新的病毒，完成测试的一周后，发现病毒又更新了，而卡巴斯基居然不认识下载的病毒，知道第二天卡巴斯基才认识此病毒。[/color]
[color=#00bfff][/color]
[color=#00bfff][/color]
[color=#00bfff][/color]
[color=#00bfff]    [/color][color=green]病毒发展的速度越来越快，因此大家一定要不断学习新知识，只要懂得了病毒的相关知识，正确使用好了工具，就可以拒病毒于千里之外。本文所碰到的病毒比较强大，再加上是几个月前发生的事情，有些地方可能了解得不太全面，文中有什么不对的地方，还是请大家谅解。本文主要是想给大家提供一个消灭病毒和防御病毒的思路，如果有问题大家可以在这和我一起讨论。[/color]

{chinaz1}

谢谢楼主无私奉献！第一讲和第二讲非常的不错，{yct27} 。这一讲开始就有点深熬了，{yct18} 我是只新鸟，好多地方看不懂。
比如说ntsd命令怎么用，{yct51} 我还没听说过..

[quote]原帖由 [i]阿虎[/i] 于 2008-10-8 08:48 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3534995&ptid=21980133][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
谢谢楼主无私奉献！第一讲和第二讲非常的不错，{yct27} 。这一讲开始就有点深熬了，{yct18} 我是只新鸟，好多地方看不懂。
比如说ntsd命令怎么用，{yct51} 我还没听说过.. [/quote]

运行---CMD--Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>ntsd -a q -p 1088
C:\Documents and Settings\Administrator>

谢谢楼上，ntsd是不是指结束和终止某个进程呀！那么后面的参数是什么意思呀！可楼主讲的是在记事本中一同时终止两个进程呀{yct29}

[[i] 本帖最后由 阿虎 于 2008-10-8 09:14 编辑 [/i]]

强调一下是
[color=Red]ntsd  -c q -p  pid号（或者进程名）
注释一下：pid号的获取  打开任务管理器 ----查看----选择列----勾选pid 确定  
[/color]

[[i] 本帖最后由 vistalong 于 2008-10-10 16:13 编辑 [/i]]

heihei