1、病毒防范及处理方法解析病毒防范及处理方法解析趋势科技沈赟概述概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享概述概述 病毒类型概述病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享互联网威胁互联网威胁 病毒通过各种方式复制感染其它文件 蠕虫自动传播自身的副本到其它计算机 木马在主机上未经授权自动执行 后门在主机上开放端口允许远程计算机访问 间谍软件检测用户的使用习惯和个人信息,在未经用户认知和许可下发送给第三方以上统称:恶意代码恶意代码威胁分类威胁分类ThreatsSpamMalwareGraywareVirusesTrojansWo
2、rmsSpywarePhishingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防间谍软件产品覆盖范围防间谍软件产品覆盖范围防病毒产品覆盖范围防病毒产品覆盖范围趋势科技对恶意程序的定义趋势科技对恶意程序的定义病毒名称前缀病毒名称前缀病毒类型病毒类型TROJ木马WORM蠕虫PE文件感染型ADW广告组件TSPY间谍木马JS脚本VBSVB脚本PACKER加壳文件BKDR后门程序JOKE玩笑程序EXPL利用漏洞攻击病毒流行趋势病毒流行趋势范围:全球性爆发逐渐转变为地域性爆发如WORM_MOFE
3、I.B等病毒逐渐减少TSPY_QQPASS,TSPY_WOW,PE_LOOKED等病毒逐渐增加速度:越来接近零日攻击(Zero-Day Attack)如WORM_ZOTOB,WORM_IRCBOT等方式:病毒、蠕虫、木马、间谍软件联合如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒病毒传播或感染途径病毒传播或感染途径 电子邮件:WORM_MYTOB,WORM_STRATION 网络共享:WORM_SDBOT P2P 共享:WORM_PEERCOPY.A 系统漏洞:WORM_MYTOB、WORM_SDBOT 其它(目前大多数木马、间谍软件的感染方式)移动磁盘传播 网
4、页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放概述概述 病毒类型概述 病毒行为分析病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享病毒感染的一般过程病毒感染的一般过程 通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能 打开后门等待连接 发起DDOS攻击 进行键盘记录.除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。病毒自启动方式病毒自启动方式 修改系统 修改注册表 启动项 文件关联项 系统服务项 BHO项 将自身添加为服务 将自身添加到启动文件夹 修改系统配置文件
5、 自动加载 服务和进程病毒程序直接运行 嵌入系统正常进程DLL文件和OCX文件等 驱动SYS文件常见的病毒行为常见的病毒行为 自动弹出网页 占用高CPU资源 自动关闭窗口 自动终止某些进程.无论病毒在系统表现形式如何我们需要关注的是病毒的隐性行为!我们需要关注的是病毒的隐性行为!病毒的隐性行为(一)病毒的隐性行为(一)下载特性 自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种 后门特性 开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控 信息收集特性 收集私人信息,特别是帐号密码等信息,自动发送 自身隐藏特性 使用Rootkit技术隐藏自身的文
6、件和进程病毒的隐性行为(二)病毒的隐性行为(二)文件感染特性 感染系统中部分/所有的可执行文件,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。典型 PE_LOOKED 维京 PE_FUJACKS 熊猫烧香 网络攻击特性 针对微软操作系统或其他程序存在的漏洞进行攻击 修改计算机的网络设置 向网络中其它计算机发送大量数据包以阻塞网络 典型 震荡波 ARP攻击概述概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式趋势的病毒应对方式 病毒的处理建议 病毒案例分享趋势产品杀毒机制(一)趋势产品杀毒机制(一)扫毒模块 扫描并检测含有恶意代码的文件,对其进行识别 对于被文件型病毒
7、感染的可执行文件进行修复 组件 扫描引擎-VSAPI&TMFilter 病毒码-LPT$VPN.xxx 间谍软件病毒码-TMAPTN.xxx 网络病毒码-TMFxxxxx.PTN趋势产品杀毒机制(二)趋势产品杀毒机制(二)杀毒模块 损害清除服务(DCS)对于正在运行/已经加载的病毒进行清除 终止进程 脱钩DLL文件 删除文件 恢复被病毒修改过的注册表内容,起到修复系统的作用 可视为趋势通用专杀工具 组件 损害清除引擎(DCE)-TSC.EXE 损害清除模板(DCT)-TSC.PTN 间谍软件清除病毒码-TMADCE.PTN中国区病毒码(中国区病毒码(China Pattern)本地化,主动性
8、通过“主动”收集中国地区大量病毒样本(Sourcing),快速分析,由China Regional Trend Labs发布针对中国地区的病毒码。包含全球病毒码特性 中国区病毒码完全包含全球病毒码,并极大增加了对本地病毒的查杀数目和能力。是根据中国病毒的特点,发布的病毒码版本。技术领先特性,增强查杀率 中国区病毒码整合了多项智能扫描病毒技术,Intellitrap技术,最新杀病毒DCE5技术等多项查杀毒功能,大大增强了病毒查杀率。载体程序为什么会出现无法清除的病毒?为什么会出现无法清除的病毒?有病毒本身的特性决定恶意代码恶意代码为什么会出现无法隔离为什么会出现无法隔离/删除的病毒?删除的病毒?
9、当病毒感染系统后 病毒进程已经被系统加载 病毒DLL文件已经嵌入到正在运行的系统进程中 Windows自身的特性:对于已经加载的文件无法进行改动操作,从而导致病毒扫描引擎对检测到的文件无法操作。已经加载的病毒不包含在损害清除模板(DCT)中病毒问题处理的标准流程病毒问题处理的标准流程1.发现系统异常,怀疑有产品无法查到或处理的病毒2.在征得用户同意的情况下,拔除网线3.收集病毒日志客户机端pccnt35.log4.收集系统日志和样本运行sic工具收集系统信息使用在线分析系统,上传sic日志,获取样本提取工具运行样本提取工具,提取病毒样本包5.将步骤3和4生成的三个文件提交给趋势科技6.趋势提供
10、病毒解决方案概述概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议病毒的处理建议 病毒案例分享手动病毒处理方法手动病毒处理方法 如何来防病毒?安装杀毒软件,并及时更新防病毒组件 及时更新系统和应用软件补丁,修补漏洞 强化密码设置的安全策略,增加密码强度 加强网络共享的管理 增强员工的病毒防范意识 中毒了怎么办?重装系统 系统还原 Ghost还原 删除病毒文件 修复病毒修改的注册表和文件手动病毒处理步骤(一)手动病毒处理步骤(一)关闭系统还原 进入安全模式 终止所有可疑进程和不必要的进程 显示隐藏文件 工具-文件夹选项 选择“显示所有文件”取消“隐藏受保护的系统文件”仍然无法显
11、示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue=2DefaultValue=2 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=1DefaultValue=2手动病毒处理步骤(二)手动病毒处理步骤(二)判断可疑文件 路径%SystemRoot%SystemRoot%
12、System32%SystemRoot%System32drivers 按照日期排列文件,查看文件版本信息 可执行文件.EXE,.COM,.SCR,.PIF DLL文件和OCX文件 LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件,可以直接双击打开查看其内容是否为文本。若为乱码,则可疑。Google之 联系趋势科技工程师手动病毒处理步骤(三)手动病毒处理步骤(三)修复被病毒修改的host文件%SystemRoot%System32driversetchost 默认仅包含一条host记录127.0.0.1 localhost 清空临时文件夹%SystemRoot%Temp C:Temp
13、Internet临时文件 C:Documents and SettingsLocal SettingsTemp 清理注册表等启动项信息常用工具介绍常用工具介绍 netstat命令 Process Explorer IceSword SIC-http:/ Process Monitor 记录注册表/文件系统变化(动态)InstallRite记录注册表/文件系统变化(静态)趋势科技闪电杀毒手http:/ 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享病毒案例分享典型病毒案例分析:典型病毒案例分析:BKDR_HUPIGON.G(一)(一)自行安装 复制自身G_Serve
14、r.exe到Windows目录下,删除母体文件 释放 G_Server.dll G_Server_Hook.dll使用使用RootKit技术隐藏以上三个文件技术隐藏以上三个文件典型病毒案例分析:典型病毒案例分析:BKDR_HUPIGON.G(二)(二)G_Server.exe注册自己成服务 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesGrayPigeonServer 开机自动运行,并启动 G_Server.dll G_Server_Hook.dll G_Server.exe自动退出典型病毒案例分析:典型病毒案例分析:BKDR_HUPIGON
15、.G(三)(三)G_Server.dll实现后门功能 Create registry entries Startkill services Startkill processes Create files in any folder chosen by the remote user Create threads Get disk status Download files from the Internet to the affected system Log keystrokes Inject processes G_Server_Hook.dll挂载在Iexplorer进程下典型病毒案例
16、分析:典型病毒案例分析:WORM_LOVGATE.AE(一)(一)WORM_LOVGATE.AE的自身安装 该蠕虫会在执行后,生成以下文件:%System%hxdef.exe%System%IEXPLORE.exe%System%kernel66.dll%System%RAVMOND.exe%System%TkBellExe.exe%System%Update_OB.exe%Windows%SYSTRA.EXE%Windows%svchost.exe 并在Windows system目录中释放以下后门组件 LMMIB20.DLL MSJDBC11.DLL MSSIGN30.DLL ODBC16
17、.DLL SPOLLSV.EXE NETMEETING.EXE IEXPLORER.EXE其中的DLL文件被检测为WORM_LOVGATE.Q,EXE文件被检测为WORM_LOVGATE.V典型病毒案例分析:典型病毒案例分析:WORM_LOVGATE.AE(二)(二)WORM_LOVGATE.AE的自启动:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下 WinHelpC:WINDOWSSystem32TkBellExe.exe“Shell Extension=%System%spollsv.exe“Hardware Pr
18、ofile=%System%hxdef.exe“Protected Storage=RUNDLL32.EXE MSSIGN30.DLL ondll_reg“Microsoft NetMeeting Associates,Inc.NetMeeting.exe“Program In WindowsC:WINDOWSSystem32IEXPLORE.EXE VFW Encoder/Decoder Settings=RUNDLL32.EXE MSSIGN30.DLL ondll_reg“HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion
19、Windows下 runRAVMOND.exe“典型病毒案例分析:典型病毒案例分析:WORM_LOVGATE.AE(三)(三)通过修改注册表,将自身注册成服务 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下,COM+System=svchost.exe“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 下,SystemTra=C:WINDOWSSysTra.EXE“HKEY_LOCAL_MACHINESystemCurr
20、entControlSetServices下,注册 _reg和 Windows Management Protocol v.0(experimental)两个服务 对基于NT的系统,它会添加一个AUTORUN.INF文件,该文件允许window的自动播放功能来执行系统根目录下的 COMMAND.EXE.它还会创建相关的注册表项:HKEY_LOCAL_MACHINESoftwareClassesAutoRun2ShellAutoRuncommand下,Default=C:COMMAND.EXE/StartExplorer 典型病毒案例分析:典型病毒案例分析:WORM_LOVGATE.AE(四)(
21、四)大量邮件传播 该病毒通过 MAPI来回复系统中找到的电子邮件;它发送的邮件是原始邮件的主题前加 RE:,并邮件正文的第一部分保留原始邮件。该邮件包含文件变化的附件。该病毒还通过搜索Windows Address Book(WAB)取得邮件接收目标,并利用自带的SMTP引擎来发送电子邮件。典型病毒案例分析:典型病毒案例分析:WORM_LOVGATE.AE(五)(五)网络共享传播 该病毒会尝试在开放写入权限的网络共享文件夹中放入自身副本,并利用社会工程学,以以下名字命名:admin$system32NetManager32.exe 它会在windows目录中建立共享文件夹,并将自己复制到该文件
22、夹中,并以以下的文件名命名。autoexec.bat Cain.pif client.exe Documents and Settings.txt.exe findpass.exe i386.exe Internet Explorer.bat Microsoft Office.exemmc.exe MSDN.ZIP.pif Support Tools.exe Windows Media Player.zip.exe WindowsUpdate.pif winhlp32.exe WinRAR.exe xcopy.exe 典型病毒案例分析:典型病毒案例分析:WORM_LOVGATE.AE(六)(六)结束进程 这个蠕虫会结束包含有以下任一字符串的进程 MCAFEE RAVMON.EXE RFW.EXE RISING SKYNET SYMANTEC 文件关联 HKEY_CLASSES_ROOTtxtfileshellopencommandDefaultUpdate_OB.exe%1病毒技术资源病毒技术资源 病毒百科全书 http:/ http:/ You!Thank You!
