- 最后登录
- 2011-6-22
- 在线时间
- 296 小时
- 注册时间
- 2007-6-14
- 阅读权限
- 70
- 帖子
- 202
- 精华
- 32
- UID
- 1438528
 
- 铜钱
- 635
- 元宝
- 0
- 威望
- 1022
- 积分
- 728
|
发表于 2007-10-26 07:46:39
|显示全部楼层
近几个月零零散散地接到中脚本病毒的用户求助,在网上输入关键字“脚本病毒”随便搜一搜,大都是三四年以前的内容并且分析的已经很透了。但为什么会又会出现在我们的视线之内呢?个人认为原因是全民黑客风潮的附属品。
: b9 Y# u5 k6 |0 D, s1 s1 s1 J随着近年来出现很多用户QQ号码,网银账户,网游帐号被盗,个人隐私泄露,电脑文件被删除等事件,看得人们早已见怪不怪。而脚本的编写基本上作为很多计算机专业学生以及黑客的必修课。9 k* U) ^, q+ G* w9 R
2 w% G& o* g9 C8 h! g6 Z& M
3 I" D, ^/ x# [- x5 Q从截获的样本情况看,所有代码都像是教科书一般。不过传播范围应该不广,主要在教育网和部分局域网传播。受AV终结者以及ANI蠕虫的思路影响,部分样本加入了对抗杀毒工具以及arp欺骗通过系统漏洞传播的特性,并可寄生于U盘传播。4 K Y( Q8 B: r
# k7 j% x2 F! o1 i
& t% N" ?; r5 o( n
此类病毒主要可见特征:& n* Z. V" p3 z$ S- S: d% w" m
0 c4 l$ D. S) y( ]4 M7 ~% N
2 D+ m) P' f, t6 u+ L. w
1.修改文件关联:主要是网页格式,部分样本会将*.reg和*.txt的文件关联修改到自身。导致用户在使用*.reg文件解锁文件夹选项时仍然调用病毒文件,删除vbs文件后记事本文件无法打开等。
' ]! J0 S1 h. F1 Z/ S2.修改文件夹选项:将自身设置为隐藏或系统属性,配合文件夹选项的修改达到自我隐藏的目的。
& f6 g* ?. ~9 a, @! J3.自动运行:在各个盘符留下autorun文件,导致用户双击即激活。; s- T3 H7 e3 O5 Z i, u3 L
4.文件名特典:文件名有的是获取当前登录账户的用户名,达到“随机”的目的;有的将文件名起的比较长,如:{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs";还有的则简单到一般用户看后不知道该删除什么,如:`.vbs;更无耻的是冒充dll文件的,如:MS32DLL.dll.vbs。( t4 \* y" {. C8 d3 j8 E
5.自我保护:病毒在进程中调用wscript.exe文件形成进程保护,发现盘符下的主文件删除后会自动生成。为了防止用户手动杀毒,病毒会关闭任务管理器,注册表工具,cmd命令提示符,mmc控制台,以及一些常见的杀毒工具,如:SReng等。4 G) q' c- b# w! k+ d
6随机启动:可能一些用户认为使用文件粉碎器将各个盘符下面的autorun.inf同.vbs文件全部粉碎即可删除病毒。但是病毒在注册表中加入了随机启动值,并在系统文件夹下留下相关病毒文件,导致病毒现象挥之不去。
- k6 A6 W: j7 o) O K常见的注册表键值如下:8 \/ j! g) {& B! b& u2 n1 N
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows /load
% @& z4 }- b8 G6 i8 fHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /explorer
5 t3 K; j# H) g2 pHKCU\Software\Microsoft\Internet Explorer\Main /Window Title$ j5 ^* s' ^; l
7.破坏部分:由于autorun的存在,导致用户无法格式化可移动磁盘。病毒会寻找磁盘内具有淫秽色情文件名的视频文件,并进行删除操作。(一些家长可能会觉得此举比较人性化吧)感染网页格式文件修改浏览器窗口标题,连接远程主机下载病毒等脚本可以做到的事情。2 r2 z$ A9 |) E$ c; ~+ n0 N0 O2 j
- S, b# O5 m1 x关于主文件的处理方法分高手版和菜鸟版,高手看下面的操作流程。菜鸟下载附件中的vbs病毒通杀批处理1.0版。(由于本人能力与精力有限,所以批处理仅适合菜鸟进行强制清除。如果无法清除,请提供病毒样本进行修正。本人对使用后造成的异常现象不负相关责任———理论上普通个人用户不会有异常。)
& O9 a- B Y9 _7 {
- E& h# q9 l2 I- V- N, ^& o
) K8 r) M: n4 M9 X0 x; i/ c7 n, I. { y7 P: i* e2 h( k
高手清理流程:
0 U* S( [( y! \4 H2 A我们用到的工具是金山系统清理专家2.1版和SEeng(清理专家通常不会被此病毒关闭。如果无法运行的话,修改为其他可执行文件扩展名以及随机文件名即可。例如:093.com ,papa.pif,xuxu.scr等)" Q3 \: Y# X. _: D% t- ]8 e
4 l& Q+ L% ^! z; n$ h: s: y
. P( x- `1 Z* |% D- h
下载地址如下:
' M* G$ i# y9 g% c% p$ ]6 E6 I8 D4 C/ t% o6 S# J
2 e* Q& b3 S$ m4 y( J E' r4 x/ H
金山系统清理专家2.1
/ V( ^3 u$ i! lhttp://buy.duba.net/download/index.shtml#kas
' S$ P1 }( r$ h0 q1 b/ h' r: S- q4 }2 F5 S) o6 l" P
2 \3 Y- a& x, ~1 Y R7 R
SReng:( h" \, l2 b# K x1 K
http://www.kztechs.com/sreng/download.html, ?) U$ z& @* j1 l7 e6 ^2 q; U
* Z+ [2 i0 r0 g! J6 M* m
: T1 L) z6 v6 Z( z+ p. D# n( T/ Y' L. ~* u& K/ D9 W1 _
安装金山系统清理专家2.1并升级到最新以后,使用『全面诊断』功能找到wscript.exe进程将其“修复选中项”。(注意:有几个wscript.exe进程便修复几个)如图所示:
$ p& h% j+ `5 U! A; t7 Q! G' \/ `3 n5 d, }/ W! Z3 d/ g
3 d, z, ~: w$ P' l
% D! l1 ?5 o# v, H
之后使用安全百宝箱中的『自动运行管理工具』将全部自动播放功能禁用。如图所示:7 Y- t) V A( o. [, m0 F
; V% n* ~* U, @% X4 O- B5 [
4 m$ A/ {# Z% \ e. L6 I2 M1 c5 l# M. N( G* w! e* `1 z7 h
最后进行恶意软件检测清除“异常的autorun.inf”,以免之后双击磁盘无法打开。如图所示:$ e9 Y1 p4 i# _5 |. f% Y3 m
: l# B5 u. J. X* P
2 ^( u( d+ y% p& W" ^9 X I' Z% ^. |# E! D5 M$ O
至此清理专家的任务基本完毕,当然强烈建议用户使用垃圾文件清理功能。因为其中包括清理临时目录下被感染的网页格式文件。以及系统漏洞修复功能,以便提高病毒免疫力。
& Q4 y H- v) h3 l% S9 ?
* D9 W& F8 W9 e/ b7 \( ^$ q2 ]: Z$ G: k! S0 h4 |5 w
接下来运行SReng找到『文件关联』全选修复(由于之前清理专家将病毒的守护进程关闭掉了所以SReng肯定不牵涉改名问题,可直接运行) 如图所示: k+ h V% y8 Z6 u# D
& s; y1 a7 n6 G5 F" [) |
0 G/ W7 E% I/ S k& ^ I# c
9 C: l) @! L% t0 V+ L! \* d为了能够显示隐藏文件并且修正病毒修改的浏览器窗口标题栏,选择『Windows Shell/IE』全选修复。如图所示:
# g0 {+ V1 {1 Y" g3 _7 Y% n& R+ @ E4 m2 i
% V r( ?% a: h1 {$ n接下来在SReng的『启动项目』—『注册表』中查找有“.vbs”字样的项目,删除即可。如图所示:
`5 i. m, N6 f* j3 o! x$ r0 g' }7 \+ W
# m0 H/ Q* l3 u
之后修改文件夹选项中的三处,以便保证可以查看系统以及隐藏属性的文件。如图所示:
! |* F* j1 g5 |4 Z$ B
( M M4 \5 A3 R, J: N% G7 i& N3 L; G0 S5 ]; e2 ]
3 {5 p0 @9 f2 k8 w4 L最后点击『开始』—『搜索』选择搜索范围是“我的电脑”中包含隐藏属性以及系统文件夹下的最近一段时间的*.vbs文件,全选删除即可。(没有正确选择时间范围的话,蓝色字体显示的文件是系统文件不要删除。)为了节省空间合成图如下:
7 Y* N& T+ s) O) q* s& p
1 y# m2 q( P" p% L/ W' h }& U2 x+ g8 C
" Q; n4 v9 D* \ q3 ^4 t3 e5 R2 x
$ L+ |; g1 a/ S" K8 u5 z/ z至此,脚本类病毒的主要传播源头以及加载位置已经清理完毕。建议用户升级杀毒软件,做好预防工作。. V& G! N8 a M- D" c
- R4 l& B% r K& f& x" j1 Q
对于菜鸟用户认为上述操作步骤过于复杂的,可以使用附件中的批处理处理。如有问题,请提供样本,以便修正。 L$ O) z: l0 j$ f/ \
如果系统提示以下截图信息,插入系统安装光盘选择『重试』即可,如果手头没有XP系统光盘的话,将附件中的Vbs备份压缩包内的所有vbs复制到system32和该目录下的dllcache文件夹下即可。7 N" Y+ y0 y" w ~9 _5 ^
1 M* W9 Q i- K3 |5 a& w4 ]9 t9 ~7 M8 J2 m! x$ L& O: x# z! t% d. R& w! ]
( ^" e7 y5 D' E4 s* T& x
3 I- R5 Z1 F, W% m) A: v. @ N% C& U- h
0 q4 ]7 X3 T# g4 T1 ]
) x( X# K c4 _8 H
[ 本帖最后由 papa 于 2007-11-17 13:12 编辑 ] |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
小鬼来了,快来捉我呀!
