- 积分
- 707
- 威望
- 976
- 元宝
- 0
- 铜钱
- 613
|
1楼
发表于 2007-10-26 07:46
| 只看该作者
非主流病毒——脚本病毒(VBS病毒)的简单分析与处理思路
近几个月零零散散地接到中脚本病毒的用户求助,在网上输入关键字“脚本病毒”随便搜一搜,大都是三四年以前的内容并且分析的已经很透了。但为什么会又会出现在我们的视线之内呢?个人认为原因是全民黑客风潮的附属品。
! T: P3 [* r& R: K- G% H随着近年来出现很多用户QQ号码,网银账户,网游帐号被盗,个人隐私泄露,电脑文件被删除等事件,看得人们早已见怪不怪。而脚本的编写基本上作为很多计算机专业学生以及黑客的必修课。# m6 n7 E- R# h- F, I+ ]
+ F% l/ k4 Z9 k6 v: V; f& m0 }- e4 H
2 U* |0 m: @9 k
从截获的样本情况看,所有代码都像是教科书一般。不过传播范围应该不广,主要在教育网和部分局域网传播。受AV终结者以及ANI蠕虫的思路影响,部分样本加入了对抗杀毒工具以及arp欺骗通过系统漏洞传播的特性,并可寄生于U盘传播。
" k# ~0 u* R9 g1 {1 S$ ~# k- e+ D* s& o
7 B$ |* ]. A1 U$ d4 {此类病毒主要可见特征:' g4 _- @& n+ P5 f- h2 ?
* o8 t1 B5 @4 i+ |1 M J- H2 V
* _. M' m n' E1 C9 ]7 ]: a# V1.修改文件关联:主要是网页格式,部分样本会将*.reg和*.txt的文件关联修改到自身。导致用户在使用*.reg文件解锁文件夹选项时仍然调用病毒文件,删除vbs文件后记事本文件无法打开等。
) L; I) ?6 ?# c# D2.修改文件夹选项:将自身设置为隐藏或系统属性,配合文件夹选项的修改达到自我隐藏的目的。
9 @4 P: y8 j0 T& ]3.自动运行:在各个盘符留下autorun文件,导致用户双击即激活。; B- e- K( |4 n. p! x' z* {
4.文件名特典:文件名有的是获取当前登录账户的用户名,达到“随机”的目的;有的将文件名起的比较长,如:{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs";还有的则简单到一般用户看后不知道该删除什么,如:`.vbs;更无耻的是冒充dll文件的,如:MS32DLL.dll.vbs。$ ]2 b5 v) Z" ?1 o/ s: V
5.自我保护:病毒在进程中调用wscript.exe文件形成进程保护,发现盘符下的主文件删除后会自动生成。为了防止用户手动杀毒,病毒会关闭任务管理器,注册表工具,cmd命令提示符,mmc控制台,以及一些常见的杀毒工具,如:SReng等。( F/ K5 W' _) M5 D' B o {. T6 P) \
6随机启动:可能一些用户认为使用文件粉碎器将各个盘符下面的autorun.inf同.vbs文件全部粉碎即可删除病毒。但是病毒在注册表中加入了随机启动值,并在系统文件夹下留下相关病毒文件,导致病毒现象挥之不去。7 S' x' x. i4 t6 B D" V
常见的注册表键值如下:
* q3 o, v8 {, K% j4 p4 \& _4 OHKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows /load
7 U) ]6 t5 z) q: R/ L+ SHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /explorer
: c2 y5 G- V( t i0 ]$ uHKCU\Software\Microsoft\Internet Explorer\Main /Window Title
& U5 @0 v% ^, `5 t7.破坏部分:由于autorun的存在,导致用户无法格式化可移动磁盘。病毒会寻找磁盘内具有淫秽色情文件名的视频文件,并进行删除操作。(一些家长可能会觉得此举比较人性化吧)感染网页格式文件修改浏览器窗口标题,连接远程主机下载病毒等脚本可以做到的事情。0 R$ i& Y; L1 N
2 W3 C& i L! z, D( ^. K q5 N关于主文件的处理方法分高手版和菜鸟版,高手看下面的操作流程。菜鸟下载附件中的vbs病毒通杀批处理1.0版。(由于本人能力与精力有限,所以批处理仅适合菜鸟进行强制清除。如果无法清除,请提供病毒样本进行修正。本人对使用后造成的异常现象不负相关责任———理论上普通个人用户不会有异常。)7 z! N/ b& _7 Y9 j6 C3 e) X( k
& j8 f7 j( a: A
1 M; r) t) y2 O8 v1 |5 m; b4 U4 u# E9 g) t( U+ {4 ?0 ?
高手清理流程:
6 p+ f, b8 u, z% V- F我们用到的工具是金山系统清理专家2.1版和SEeng(清理专家通常不会被此病毒关闭。如果无法运行的话,修改为其他可执行文件扩展名以及随机文件名即可。例如:093.com ,papa.pif,xuxu.scr等)
9 p: H" Z1 E; Z/ r% ?* ]+ s5 Z" [7 A2 j
1 {" l# Y, K/ |
下载地址如下:' G( C: y( P3 g+ K, I( |
, o6 P# x+ H4 q, Y. l4 v# ]8 M' @) G: \
金山系统清理专家2.1 0 W& v! x4 @9 n
http://buy.duba.net/download/index.shtml#kas
# `2 I, ~3 w0 ]! H& j3 o
9 \. }5 L" A( `* H9 {# [5 h4 a3 S4 g
SReng:
) ?$ T0 M$ W' N* i7 b( zhttp://www.kztechs.com/sreng/download.html* [$ B% a5 Z! a
2 Y. l; a% M: O0 m3 a- e" U1 B
1 \! x& \1 [% v$ D# ?& r+ S
7 z* N; r4 c8 `9 p2 k- X安装金山系统清理专家2.1并升级到最新以后,使用『全面诊断』功能找到wscript.exe进程将其“修复选中项”。(注意:有几个wscript.exe进程便修复几个)如图所示:: g2 M3 q/ X/ B
+ d5 V% X6 F7 o
[attach]16052745[/attach]
+ @# V6 N: C2 h6 w# v
2 Y2 _: V% ~: T: O( J) p之后使用安全百宝箱中的『自动运行管理工具』将全部自动播放功能禁用。如图所示:* b4 C* L! Q, i( C& W! ~# c
' O& K! b0 ^6 }( R[attach]16052746[/attach]! g+ `" m( f# w! D
, m9 T( R0 w+ {: u6 M& e
最后进行恶意软件检测清除“异常的autorun.inf”,以免之后双击磁盘无法打开。如图所示:# m8 s* h7 N4 h# y; I
[attach]16052747[/attach], \1 ?, ~0 b5 }+ K! m3 T: a; ]* ~6 I9 ^
( r2 H# ?& [ e( f8 w: T( t
/ o2 L; r" e) L }5 _/ p5 {/ P r6 }至此清理专家的任务基本完毕,当然强烈建议用户使用垃圾文件清理功能。因为其中包括清理临时目录下被感染的网页格式文件。以及系统漏洞修复功能,以便提高病毒免疫力。% \1 l- R$ a& u$ F; |1 s! {
8 p. |& T" m8 Y O2 J) \: n( W. g. D! _! B$ `) G
接下来运行SReng找到『文件关联』全选修复(由于之前清理专家将病毒的守护进程关闭掉了所以SReng肯定不牵涉改名问题,可直接运行) 如图所示:( X( W* b; S+ |% ?( L
[attach]16052748[/attach]8 [ b, E9 a& b5 y4 c# z
/ R* o7 F1 L! A) A3 G$ ?. h1 q
, q6 ]& b3 Q) V' H. e6 ?9 ]
为了能够显示隐藏文件并且修正病毒修改的浏览器窗口标题栏,选择『Windows Shell/IE』全选修复。如图所示:
. y5 X& j2 ] ~5 g$ X' r1 B[attach]16052749[/attach]. I$ H$ d3 l8 o+ N$ [' Q* n- w5 P6 w
6 r# f( S: l: p8 i0 B$ V: Q+ q" j接下来在SReng的『启动项目』—『注册表』中查找有“.vbs”字样的项目,删除即可。如图所示:: ^4 g4 W7 [$ ?
[attach]16052814[/attach]
% `$ k' Q0 \6 {: k, c7 L" q/ y' j% E- V
( Y) {# w. f0 t0 B! W ]) |之后修改文件夹选项中的三处,以便保证可以查看系统以及隐藏属性的文件。如图所示:" Y* G5 N5 [$ o0 n4 Z: a
6 d: u* P% f6 h' E( Y) u7 T% S[attach]16052750[/attach]2 Q. ]8 }! I& H
6 P" Z- ?% h( S
最后点击『开始』—『搜索』选择搜索范围是“我的电脑”中包含隐藏属性以及系统文件夹下的最近一段时间的*.vbs文件,全选删除即可。(没有正确选择时间范围的话,蓝色字体显示的文件是系统文件不要删除。)为了节省空间合成图如下:
8 G1 _2 K9 M+ D[attach]16052751[/attach]2 Y) Y' k% d C
& n5 J% V0 I) I, ]6 {) C8 N! Y
% |" Q2 x3 b4 j+ C. J k6 p& @
; m/ @( |: S2 r+ U( X3 v; ]至此,脚本类病毒的主要传播源头以及加载位置已经清理完毕。建议用户升级杀毒软件,做好预防工作。
9 X; D! R, |- Z# m6 ]* M+ l$ t' i* a
对于菜鸟用户认为上述操作步骤过于复杂的,可以使用附件中的批处理处理。如有问题,请提供样本,以便修正。: _7 ]5 |9 i& E" L4 f" U
如果系统提示以下截图信息,插入系统安装光盘选择『重试』即可,如果手头没有XP系统光盘的话,将附件中的Vbs备份压缩包内的所有vbs复制到system32和该目录下的dllcache文件夹下即可。
6 Y' n6 h+ Q8 n6 T$ N i) p( c[attach]16055207[/attach]9 m! V# H6 p+ [$ e" q S. z: x
1 S4 T7 Z% l& @$ u, l/ v R3 w' H" E/ p& Y4 H/ ?3 H
& u. m, ^6 u" ]: r8 D
: ~7 W4 V' g( o: y' {5 y
- Z* t6 o! B+ @& g$ J/ J
0 V, S2 D2 Q5 ?. B& p9 q[ 本帖最后由 papa 于 2007-11-17 13:12 编辑 ] |
|
发表于 2007-10-31 18:22
| 
小鬼来了,快来捉我呀!
