实验目的
1、了解U移动存储型病毒的基本概念 2、掌握U移动存储型病毒的基本原理和防范方法 3、了解分析病毒的一般流程 4、掌握手动清除U移动病毒的基本方法 5、实现实验所提到的命令和工具,得到实验结果
实验原理
U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使用户所有的硬盘完全共享或中木马的病毒;能通过产生AutoRun.inf进行传播的病毒,都可以称为U盘病毒。随着U盘、移动硬盘、存储卡等移动存储设备的普及,U盘病毒也开始泛滥。病毒首先向U盘写入病毒程序,然后更改autorun.inf文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序,那么Window就会运行这个程序,引发病毒。一般病毒还会检测插入的U盘,并对其实行上述操作,导致一个新的病毒U盘的诞生。
实验内容
1、通过“暴风一号”病毒的分析报告了解和学习U移动存储型病毒的行为和特征。 2、通过使用相关手动杀毒工具清除autorun.inf病毒,本实验采用了“熊猫烧香”病毒。 3、通过修改注册表和策略设置防范U移动存储型病毒的传播。
实验环境描述
1、 学生机与实验室网络断开;
2、 VPC1与实验室网络断开;
3、学生机与VPC1物理链路连通;
实验步骤
1、 了解并学习“暴风一号”病毒分析流程
病毒描述:这是一个由 VBS 脚本编写,采用加密和自变形手段,并且通过 U 盘传播的恶意蠕虫病毒。
病毒行为:
自变形:
病毒首先通过执行strreverse() 函数,得到病毒的解密函数:
解密代码如下:
这段代码会读取脚本文件的注释部分,将其解密之后:
解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。
自复制:
病毒会遍历各个磁盘,并向其根目录写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。
病毒会将系统的 Wscript.exe 复制到 C:\Windows\System\svchost.exe
如果是 FAT 格式,病毒会将自身复制到 C:\Windows\System32 下,文件名为随机数字。
如果是 NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中。
C:\Windows\explorer.exe
C:\Windows\System32\smss.exe
改注册表:
病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行 inf,bat,cmd,reg,chm,hlp 类型的文件,打开 Internet Explorer ,或者双击我的电脑图标时,会触发病毒文件,使之运行。
HKLM\SOFTWARE\Classes\inffile\shell\open\Command\
HKLM\SOFTWARE\Classes\batfile\shell\open\Command\
HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\
HKLM\SOFTWARE\Classes\regfile\shell\open\Command\
HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\
HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\
HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command
病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失。
HKCR\lnkfile\IsShortcut
病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun
病毒会修改以下键值,使病毒可以开机自启动
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
遍历文件夹:
毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏 + 系统 + 只读”属性。同时创建一个快捷方式,其目标指向 vbs 脚本,参数指向被病毒隐藏的文件夹。
由于病毒修改的注册表会使查看隐藏文件的选项失效,也会屏蔽快捷方式图标的小箭头,所以具有很大的迷惑型,让用户误以为打开的是文件夹。
关闭弹出光驱:
每当系统日期中的月和日相等的时候(比如说 1 月 1 日, 2 月 2 日……以此类推),病毒激活时,会每隔 10 秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如 1 月 1 日,每激活一次病毒,就会打开并关闭光驱 1 次; 2 月 2 日,每激活一次病毒,就会打开并关闭光驱 2 次)。
调用其他程序
会调用 mstha.exe 显示如下图片,并且锁定计算机,使用户无法操作。
遍历进程: 如果发现有 regedit.exe 、 taskmgr.exe 等进程,就调用 ntsd 命令结束进程,使用户无法打开注册表编辑器,和任务管理器等一些基本的系统工具。
杀毒方法:
首先利用工具结束掉所有 wscript.exe 以及路径在 C:\windows\system\svchost.exe 的进程。
运行“regedit”,打开注册表编辑器,找到 ”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load” ,查看其内容所指向的路径。在命令行下,运行 del 命令删除脚本文件。
使用 NTFS 文件流相关工具,删除附加在 explorer.exe 和 smss.exe 中的文件流。
使用文件关联修复程序,修复被病毒修改过的文件关联。
删除每个磁盘根目录下的 autorun.inf 以及 vbs 文件。
鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂,建议使用杀毒软件自动查杀。
4、 分析并清除“autorun.inf”病毒
实验工具:
本部分实验采用真实的“熊猫烧香”样本进行,所以不建议在实验中使用U移动存储设备,以防将病毒带出实验环境,污染其他主机。
实验分析工具采用了Wsyscheck工具进行,它是一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等功能一应俱全.其他比较好的工具还有系统安全盾、syscheck.特别说明一下,SysCheck现在已经不更新了,WSysCheck可以说是SysCheck的升级版或强化版.一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。
进程页:红色表示非微软进程,紫红色表示虽然进程是微软进程,但模块中有非微软的模块。
服务页:红色表示该服务一不是微软服务,而且该服务是非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
在使用“校验微软文件的签名”后,紫红色显示未通过微软签名的微软驱动。(可以参考是否是假冒微软驱动,注意的是如果紫红色如果显示过多,可能是你使用的系统是网上通常见的Ghost精简版,这些版本可能精简掉了微软签名数据库。)
使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
关于如何将第三方服务排列在一起可以点击标题条”文件厂商”排一下序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
管理页:红色表示内核被HOOK的函数。
实验对象:
熊猫烧香”是一个传染型的DownLoad 使用Delphi编写
该病毒的主要行为:
一.传播
1)、本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行。
文件遍历感染注:不感染文件大小超过10485760字节以上的。
病毒将使用两类感染方式应对不同后缀的文件名进行感染:
①.二进制可执行文件(后缀名为:EXE/SCR/PIF/COM),将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染。
②脚本类(后缀名为:htm,html,asp,php,jsp,aspx)在这些脚本文件尾加上如下链接(下面的网页存在安全漏洞):</iframe>在感染时会删除这些磁盘上的后缀名为.GHO。
2)、.生成autorun.inf
病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。
3)、局域网传播
病毒生成随机几个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接。(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒。
二.修改操作系统的启动关联
病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以1秒钟为周期不断设置如下键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare=%病毒文件路径%
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue=0
三.下载文件启动
病毒会以20分钟为周期尝试读取特定网站上的下载文件列表:如:http://wangma.9966.org/down.txt。并根据文件列表指定的文件下载,并启动这些程序.
分析感染特征:
1)、U盘是熊猫烧香的传播途径,在试验过程中将U盘插入已经被感染的熊猫烧香病毒的电脑。确定U盘已经中毒,感染后文件被篡改所有的exe可执行文件都会被篡改,(本实验在虚拟机中进行,确保虚拟机网络连接关闭,解压桌面上worm.nimaya.rar打开程序进行病毒感染)如图:
2)、打开%SYSTEM32%\DRIVERS\目录,发现病毒将自身复制到该目录下。
3)、修改注册表(路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
5)、通过Wsyscheck工具我们可以查看到c盘中的病毒情况。
我们可以看到,d盘中出现了“setup.exe”的病毒文件和“autorun.inf”文件。当你双击d盘的过程中,很不幸,你的计算机的所有磁盘空间都会被感染。
6)、为了对比实验,我们在实验前对正常情况下的计算机进程和文件情况进行了截图,以方便对比。
感染前进程情况:
感染后进程情况:
通过上面两张图片的对比,我们可以发现,在感染后进程中多出了“spo0lsv.exe”进程,这个进程正是病毒进程。
感染前文件:
感染后文件:
从图片中我们可以对比发现:文件系统中多出了“setup.exe”文件和“autorun.inf”文件,并且“setup.exe”文件的修改时间被恶意修改为“2007-01-17”,这是为了更好的隐藏病毒,以防止被发现。
通过上述实验,我们简单的分析出了该病毒的传播过程和感染现象。由于该病毒可以杀死某些杀毒工具进程,下一步我们要解决如何手动杀毒的问题。
5、手动清除病毒
处理方法:
1)、利用wsyscheck工具找出并结束可疑进程:“spo0lsv.exe”,为了保证计算机重启后病毒文件不再生成,这里选择将两文件直接添加到重启并删除文件列表。
具体步骤:在wsyscheck界面选中病毒进程,右键,在菜单列表中选择“添加到重启并删除列表”。
2)、通过wsyscheck的“文件管理”功能,将上面已经发现的C盘和U盘下两个病毒文件“spo0lsv.exe”和“autorun.inf”也一并发送到重启并删除文件列表。
具体步骤:类同第一步。
3)、删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
具体步骤:在注册表中找到上述位置,删除之。
4)、上述操作已将明显地病毒文件处理掉,为了保险起见,先不着急重启计算机,我们再做进一步搜查,试着揪出隐藏更深的病毒文件。通过对文件夹的翻查,以文件创建时间为初步判断是否为病毒的依据,找到所有的“spo0lsv.exe”或“setup.exe”,确定为病毒文件的,将病毒文件删除。
5)、进入wsyscheck的“安全检查”—“重启删除文件”栏目,可以看到之前添加的所有需重启删除的病毒文件,点击“执行重启删除”执行计算机的重启操作
6)、重启后用Wsyscheck检查,发现进程中已经没有病毒进程,任务管理器可以重新启动,说明已经清除干净。通过上述手工处理病毒的过程不难看出,病毒通过Autorun.inf文件激活“XXX.exe”进程达到感染各个盘符、释放其他病毒文件的目的,只要结束病毒进程并找到所有病毒文件一次性删除,重启计算机后便会还你一个干净的系统。掌握这种手工杀毒的思路后,处理方法其实大同小异,更多的是灵活运用以及相关经验。杀毒后需要进行文件的恢复工作,建议使用相关工具。
6、修改设置防范U盘病毒
防范U盘病毒的方法有很多,(自行尝试)下面介绍一种常用的安全方法:
1)、一般来说当我们把光盘或者U盘插到员工计算机后系统会马上出现一个自动播放的对话框,让我们选择打开方式,这种自动播放功能很容易造成病毒的入侵,所以说首先我们要关闭系统的自动播放功能来封杀病毒传播途径。
第一步:通过系统左下角的“开始”->“运行”->“输入gpedit.msc”,单击“确定”按钮,打开“组策略”窗口.
第二步:在左窗格的“本地计算机策略”下,展开“计算机配置->管理模板->系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”。
第三步:单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭“组策略”窗口。当然模式是CD-ROM驱动器,如果仅仅保持默认的话我们将无法杜绝U盘的自动播放。
7.实验完毕,关闭虚拟机和所有窗口。