前言
作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一方面是因为这款病毒并没有多高深的技术,即便是在当时来讲,其所采用的技术手段也是很一般的,利用我们目前掌握的知识,足够将其剖析。因此,我相信从这个病毒入手,会让从前没有接触过病毒研究的读者打消对病毒的恐惧心理,在整个学习的过程中开个好头。
本篇文章先研究如何对“熊猫烧香”进行手动查杀。这里所说的手动查杀,主要是指不通过编写代码的方式对病毒进行查杀。说白了,基本上就是通过鼠标的指指点点,有时再利用几条DOS命令就能够实现杀毒的工作。但是不可否认的是,采用这种方法是非常粗浅的,往往不能够将病毒彻底查杀干净,但是从学习手动查杀病毒起步,有助于我们更好地理解反病毒的工作,从而为以后更加深入的讨论打下基础。
需要说明的是,手动查杀病毒并不代表在什么软件都不使用的前提下对病毒进行查杀,其实利用一些专业的分析软件对于我们的查杀病毒的还是很有帮助的,这些工具我会在对不同的病毒的研究中进行讲解。另外,出于安全考虑,我的所有研究文章,都不会给大家提供病毒样本,请大家自行上网寻找,我只会给出我所使用的病毒样本的基本信息。
手动查杀病毒流程
手动查杀病毒木马有一套“固定”的流程,总结如下:
1、排查可疑进程。因为病毒往往会创建出来一个或者多个进程,因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。
2、检查启动项。病毒为了实现自启动,会采用一些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清除。
3、删除病毒。在上一步的检查启动项中,我们就能够确定病毒主体的位置,这样就可以顺藤摸瓜,从根本上删除病毒文件。
4、修复被病毒破坏的文件。这一步一般来说无法直接通过纯手工完成,需利用相应的软件,不是我们讨论的重点。
查杀病毒
我这里研究的“熊猫烧香”病毒样本的基本信息如下:
MD5码:87551e33d517442424e586d25a9f8522,
Sha-1码:cbbab396803685d5de593259c9b2fe4b0d967bc7
文件大小:59KB
大家在网上搜索到的病毒样本可能与我的不同,但是基本上都是大同小异的,查杀的核心思想还是一样的。
这里我将病毒样本拷贝到之前配置好的虚拟机中(注意要备份),首先打开“任务管理器”查看一下当前进程:
图1 病毒运行前查看任务管理器
因为我的虚拟机系统中没有安装任何软件,是很纯净的,所以一共有18个进程(包含任务管理器进程),可以认为这18个进程是系统所必须的。有时我们就需要这样的一个纯净系统,来与疑似中毒的系统进行进程的对比操作。然后我们运行病毒,再次尝试打开“任务管理器”,发现它刚打开就立刻被关闭了,说明病毒已经对我们的系统产生了影响,而这第一个影响就是使得“任务管理器”无法打开。不过没关系,我们可以在cmd中利用“tasklist”命令进行查看:
图2 在cmd中查看染毒后的进程
通过对比可见这里多出了一个名为spoclsv.exe的进程,那么我们可以通过命令“taskkill /f /im 1820”(强制删除PID值为1820的文件映像),从而将这个进程结束掉:
图3 结束病毒进程
这时就可以发现“任务管理器”可以被打开了,说明我们工作的第一步是成功的。然后需要对启动项进行排查,可以在“运行”中输入“msconfig”:
图4 查看启动项
这里很快就能够锁定“spoclsv.exe”这一项,我们首先需要记下其文件位置:
C:WINDOWSsystem32driversspoclsv.exe
然后是注册表位置:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
然后将这个启动项前面的对勾取消,来到注册表相应的位置,将Run中的“spoclsv.exe”删除,并且删除病毒文件本体:图5 删除病毒文件
以上工作完毕后,重启系统,再次打开“任务管理器”,可以被正常打开,说明我们的工作是成功的。然后打开“我的电脑”,用鼠标右键点击一下各个盘符(我的系统只有C盘):
图6 右键点击盘符
我们在手动查杀病毒的时候,就应该养成一个习惯,那就是使用右键来打开盘符,而不是通过双击左键的方式。在这里我们可以看到,鼠标右键菜单中多出来了一个“Auto”项,那么很明显C盘中存在autorun.inf的文件(参见《反病毒攻防研究第006篇:利用WinRAR与AutoRun.inf实现自启动》)。可以在cmd中查看一下:
图7 查看隐藏文件
因为我已经确定C盘中存在autorun.inf文件,而使用dir命令却没有看到,说明它应该是被隐藏了,所以这里要使用“dir /ah”(查看属性为隐藏的文件和文件夹)命令。而我们也确实发现了autorun.inf与setup.exe这两个可疑文件(因为正常文件是不需要隐藏的,特别是EXE文件更加不需要隐藏自己,所以这个setup.exe属于可疑文件)。因为这两个可疑程序的属性是隐藏的,所以这里可以先去掉其隐藏属性,然后再进行删除:
图8 删除自启动文件
重启系统后,所有手动查杀病毒的工作完毕,我们的系统就又恢复正常了。
小结
事实上,“熊猫烧香”对于我们的电脑的危害远不止于此,只是说在不使用任何辅助工具的前提下,我们能做的基本上就是这些了。对于“熊猫烧香”病毒的手动查杀部分就到这里,在以后对于别的病毒的研究中,由于它们比“熊猫”要强大,我们不得不使用一些专业工具作为辅助。也希望大家能够亲自去尝试,勤动手,由这里开始,不再惧怕病毒。