1、第第10章章 病毒机理分析病毒机理分析2p本章概要本章概要本章将主要讨论病毒攻击与清除问题,主要讨论以下方面:本章将主要讨论病毒攻击与清除问题,主要讨论以下方面:病毒自启动技术;病毒自启动技术;病毒传播技术;病毒传播技术;可疑系统分析;可疑系统分析;可疑文件的查找;可疑文件的查找;受感染系统的清理。受感染系统的清理。3p课程目标课程目标通过本章的学习,读者应能够:通过本章的学习,读者应能够:了解病毒的工作原理;了解病毒的工作原理;掌握可疑文件的搜集方法;掌握可疑文件的搜集方法;对被感染的系统有清理的能力。对被感染的系统有清理的能力。410.1病毒传染机制病毒传染机制 通常,病毒的行为会经历这样
2、一些步骤:首先,通过一定的通常,病毒的行为会经历这样一些步骤:首先,通过一定的传播渠道进入目标系统;其次,修改系统设定,以帮助自身在系传播渠道进入目标系统;其次,修改系统设定,以帮助自身在系统启动时执行;最后,执行自身设定的功能,如发起自身的传播、统启动时执行;最后,执行自身设定的功能,如发起自身的传播、感染文件、发起感染文件、发起ddos攻击等。下面针对病毒在这个过程中所采用攻击等。下面针对病毒在这个过程中所采用的一些手段进行讨论。的一些手段进行讨论。作为病毒或恶意程序,如果要感染一个系统,必定需要通过作为病毒或恶意程序,如果要感染一个系统,必定需要通过一定的传播渠道进入系统,以最终完成传播
3、的目的。通常病毒有一定的传播渠道进入系统,以最终完成传播的目的。通常病毒有以下几种传播渠道:以下几种传播渠道:电子邮件电子邮件 网络共享网络共享 P2P共享软件共享软件 即时通信软件即时通信软件 系统中程序的漏洞缺陷系统中程序的漏洞缺陷510.1.1 10.1.1 电子邮件传播方式电子邮件传播方式 电子邮件作为一种相当便利的信息通信手段在现代社会电子邮件作为一种相当便利的信息通信手段在现代社会中被广泛使用。病毒可以使用电子邮件的快捷传播特性作为中被广泛使用。病毒可以使用电子邮件的快捷传播特性作为传播渠道,传播渠道,html格式的信件正文可以嵌入病毒脚本。而邮件格式的信件正文可以嵌入病毒脚本。而
4、邮件附件更是可以附带各种不同类型的病毒文件。虽然在原理和附件更是可以附带各种不同类型的病毒文件。虽然在原理和传播方法上并无特别,但该类型使用电子邮件作为传播手段传播方法上并无特别,但该类型使用电子邮件作为传播手段的病毒在传播时往往会造成可见的危害和现象。通常会造成的病毒在传播时往往会造成可见的危害和现象。通常会造成系统运行速度的缓慢,网络运行受到影响系统运行速度的缓慢,网络运行受到影响(网络中产生大量病网络中产生大量病毒生成的邮件毒生成的邮件)。由于很多病毒运用了社会工程学,发信人的。由于很多病毒运用了社会工程学,发信人的地址也许是熟识的,邮件的内容带有欺骗性、诱惑性,意识地址也许是熟识的,邮
5、件的内容带有欺骗性、诱惑性,意识不强的用户往往会轻信而运行邮件的带毒附件并形成感染。不强的用户往往会轻信而运行邮件的带毒附件并形成感染。6 部分蠕虫的病毒邮件还能利用部分蠕虫的病毒邮件还能利用IEIE漏洞,可使用户在没有打开漏洞,可使用户在没有打开附件的情况下感染病毒。此类病毒的代表有附件的情况下感染病毒。此类病毒的代表有WORM_NETSKYWORM_NETSKY、WORM_BAGLEWORM_BAGLE、WORM_MYDOOMWORM_MYDOOM系列等。以下以系列等。以下以WORM_mYDOOM.AWORM_mYDOOM.A为为例说明病毒通过电子邮件传播的过程。例说明病毒通过电子邮件传播
6、的过程。WORM_MYDOOM.AWORM_MYDOOM.A发送的邮件所使用的地址为从被感染的系发送的邮件所使用的地址为从被感染的系统中收集,收集的来源有两种:统中收集,收集的来源有两种:a.a.从默认的从默认的WindowsWindows地址簿地址簿(WAB)(WAB)中收集邮件地址;中收集邮件地址;b.从从WAB,ADB,TBB,DBX,ASP,PHP,SHT,HTM,TXT等类型的文件中收集邮件地址。等类型的文件中收集邮件地址。7 病毒发送邮件使用自身的病毒发送邮件使用自身的SMTPSMTP引擎,而所使用的引擎,而所使用的SMTPSMTP服服务器名称系从收集到电子邮件地址中提取。例如收集
7、到的邮务器名称系从收集到电子邮件地址中提取。例如收集到的邮件地址为件地址为。WORM_MYDOOM.AWORM_MYDOOM.A会从该邮件地会从该邮件地址中提取出域名的部分,然后加上一些前缀址中提取出域名的部分,然后加上一些前缀(如如mx.mx.,mail.mail.,smtp.smtp.,mxl.mxl.,mxs.mxs.,maill.maill.,relay.relay.,us.us.,gate.gate.等等)尝试尝试作为邮件的发送服务器地址。作为邮件的发送服务器地址。除了以上方法外,获得用来发送邮件的除了以上方法外,获得用来发送邮件的SMTPSMTP服务器的方服务器的方法还有多种,例如
8、,通过使用获得的电子邮件地址进行法还有多种,例如,通过使用获得的电子邮件地址进行DNSDNS查询的方式等。查询的方式等。8 当然,病毒仅仅通过电子邮件将自身发送出去是远远不当然,病毒仅仅通过电子邮件将自身发送出去是远远不够的,病毒伴随着邮件到了目标系统之后只有被执行,才能够的,病毒伴随着邮件到了目标系统之后只有被执行,才能真正实现对目标系统的感染。正如前述,病毒发送的邮件或真正实现对目标系统的感染。正如前述,病毒发送的邮件或者使用邮件客户端的漏洞,自动执行发送到目标系统的邮件者使用邮件客户端的漏洞,自动执行发送到目标系统的邮件中的自身副本;或者使用社会工程学的手法,诱使收到病居中的自身副本;或
9、者使用社会工程学的手法,诱使收到病居始始挠没挠没行执行邮件中的附件。行执行邮件中的附件。WORM_MYDOOM.A正正是利用了社会工程学的手法,将自身伪装为无法正常发送的是利用了社会工程学的手法,将自身伪装为无法正常发送的邮件,以吸引用户打开邮件中的附件,邮件,以吸引用户打开邮件中的附件,如下页图如下页图10.1所示。所示。9 同时,为了让收到邮件的用户进一步确信打开附件是安同时,为了让收到邮件的用户进一步确信打开附件是安全的,附件使用了文本文件的图标进行了伪装,全的,附件使用了文本文件的图标进行了伪装,如下页图如下页图10.210.2所示所示。图10.1 通过电子邮件附件传播病毒10图10.
10、2 利用文本文件图标伪装11防范措施:防范措施:这种病毒基本上可以通过技术手段解决:这种病毒基本上可以通过技术手段解决:使用网络邮件防毒网关,如趋势的使用网络邮件防毒网关,如趋势的IMSS对邮件附件进行过滤;对邮件附件进行过滤;在现有的在现有的Exchange或是或是Domino服务器上安装邮件防毒产品,如服务器上安装邮件防毒产品,如趋势科技的趋势科技的Scanmail;在客户端在客户端(主要是主要是Outlook)限制访问附件中的特定扩展名的文件。限制访问附件中的特定扩展名的文件。可以被设置阻止运行的附件类型包括:可以被设置阻止运行的附件类型包括:.adeMicrosoftAccess项目扩
11、展名;项目扩展名;.adpMicrosoftAccess项目;项目;12.basMicrosoftVisualBasic类模块;类模块;.bat批处理文件;批处理文件;.chm已编译的已编译的HTML帮助文件;帮助文件;.cmdMicrosoftWindowsNT命令脚本;命令脚本;.comMicrosoftMSDOS程序;程序;.cpl控制面板扩展名;控制面板扩展名;.crt安全证书;安全证书;.exe可执行文件;可执行文件;.hlp帮助文件;帮助文件;.htaHTML程序;程序;13.inf安装信息;安装信息;.insInternet命名服务;命名服务;.ispInternet通讯设置;通
12、讯设置;.jsJavascript文件;文件;.jseJavascript编码脚本文件;编码脚本文件;.lnk快捷方式;快捷方式;.mdbMicrosoftAccess程序;程序;.mdeMicrosoftAccessMDE数据库;数据库;.mscMicrosoft通用控制台文档;通用控制台文档;.msiMicrosoftWindows安装程序包;安装程序包;14.mspMicrosoftWindows安装程序补丁;安装程序补丁;.mstMicrosoftVisualTest源文件;源文件;.pcd照片照片CD图像,图像,MicrosoftVisual编译脚本;编译脚本;.pifMSDOS程序
13、的快捷方式;程序的快捷方式;.reg注册表项;注册表项;.scr屏幕保护程序;屏幕保护程序;.sctWindows脚本组件;脚本组件;.ShbShell碎片对象;碎片对象;.shsShell碎片对象;碎片对象;.urlInternet快捷方式;快捷方式;.vbsVBScript文件。文件。1510.1.2网络共享传播方式网络共享传播方式 病毒通过网络共享进行传播,主要是通过搜索局域网中所病毒通过网络共享进行传播,主要是通过搜索局域网中所有具有写权限的网络共享,然后将自身进行复制进行传播。更有具有写权限的网络共享,然后将自身进行复制进行传播。更进一步,病毒还可自带口令猜测的字典来破解薄弱用户口令
14、,进一步,病毒还可自带口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令。对于采用这种方式传播的病毒,需要尤其是薄弱管理员口令。对于采用这种方式传播的病毒,需要技术和管理手段并行的方式进行。技术和管理手段并行的方式进行。防范措施:防范措施:对于支持域的内部网来说,需要在域控制器的域安全策略上增对于支持域的内部网来说,需要在域控制器的域安全策略上增加口令强度策略,至少需要保证长度最小值为加口令强度策略,至少需要保证长度最小值为6,并开启密码,并开启密码复杂度要求。开启密码过期策略对防护此种攻击作用不大。复杂度要求。开启密码过期策略对防护此种攻击作用不大。16定期对网络中的登录口令进行破解尝试
15、,可以使用一些免费工定期对网络中的登录口令进行破解尝试,可以使用一些免费工具进行检查,发现可能存在的弱口令。存在弱口令的主机必具进行检查,发现可能存在的弱口令。存在弱口令的主机必须及时通知使用者修改,未及时关闭者将限制网络访问。须及时通知使用者修改,未及时关闭者将限制网络访问。使用共享扫描工具定期扫描开放共享,发现开放共享的主机必使用共享扫描工具定期扫描开放共享,发现开放共享的主机必须及时通知使用者关闭,未及时关闭者将限制网络访问。须及时通知使用者关闭,未及时关闭者将限制网络访问。1710.1.3系统漏洞传播方式系统漏洞传播方式 系统漏洞是操作系统的一些缺陷,这些缺陷可以导致一系统漏洞是操作系
16、统的一些缺陷,这些缺陷可以导致一个恶意用户通过精心设计,利用该漏洞执行任意的代码。此个恶意用户通过精心设计,利用该漏洞执行任意的代码。此类病毒就是通过这种方式对某个存在漏洞的操作系统进行漏类病毒就是通过这种方式对某个存在漏洞的操作系统进行漏洞的利用,达到传播的目的。洞的利用,达到传播的目的。防范措施:防范措施:强 制 要 求 配 置强 制 要 求 配 置 W i n d o w s U p d a t e 自 动 升 级(仅 对自 动 升 级(仅 对Windows2000/XP、且能够与互联网联通的系统有效),无、且能够与互联网联通的系统有效),无互联网连接的网络可以考虑安装使用微软的互联网连
17、接的网络可以考虑安装使用微软的sus服务器进行补服务器进行补丁程序的更新。丁程序的更新。18定期通过漏洞扫描产品查找存在漏洞的主机定期通过漏洞扫描产品查找存在漏洞的主机(可能存在部分漏洞可能存在部分漏洞无法通过扫描的方式进行确定无法通过扫描的方式进行确定),对发现存在漏洞的用户,要,对发现存在漏洞的用户,要求强制升级。求强制升级。当安全服务商紧急公告发布时当安全服务商紧急公告发布时(通常是严重漏洞通常是严重漏洞),及时向内部,及时向内部人员发布安全通知,告知处置方法。使用域环境的网络,可人员发布安全通知,告知处置方法。使用域环境的网络,可以在域控制器上设置自动登录脚本,当用户登录时,强制安以在
18、域控制器上设置自动登录脚本,当用户登录时,强制安装安全补丁后重新启动,以帮助非技术用户尽快安装补丁。装安全补丁后重新启动,以帮助非技术用户尽快安装补丁。1910.1.4P2P共享软件传播方式共享软件传播方式 P2P软件的出现,使得处于互联网不同位置的人员,进行软件的出现,使得处于互联网不同位置的人员,进行文件的共享成为可能。常见的文件的共享成为可能。常见的P2P文件共享客户端通常都会设文件共享客户端通常都会设置一个本地的文件夹放置共享的文件,由该置一个本地的文件夹放置共享的文件,由该P2P文件共享软件文件共享软件共享出去。使用传播此种手段的病毒,往往在生成自身拷贝时共享出去。使用传播此种手段的
19、病毒,往往在生成自身拷贝时使用一些吸引人或是容易被人搜索到的名称,以获得被他人下使用一些吸引人或是容易被人搜索到的名称,以获得被他人下载的机会。例如载的机会。例如WORM_MYDOOM.A生成如下的文件名称就生成如下的文件名称就很具有欺骗性:很具有欺骗性:nuke2004,office_crack,rootkitXP,strip-girl-2.0bdcom_patchers,activation_crack,icq2004-final,winamp5。防范措施:防范措施:建议企业使用技术手段,在防火墙上设置禁止建议企业使用技术手段,在防火墙上设置禁止P2P软件的使用。软件的使用。2010.1.
20、5即时通信软件传播方式即时通信软件传播方式目前被广泛使用的即时通信软件,无疑大大地提高了人与人之目前被广泛使用的即时通信软件,无疑大大地提高了人与人之间交流的便捷性,而多数的即时通信软件都带有文件的传输间交流的便捷性,而多数的即时通信软件都带有文件的传输功能,导致病毒可以利用这一功能,将自身快速地在即时通功能,导致病毒可以利用这一功能,将自身快速地在即时通信软件之间快速传送。当然伴随着文件的发送,可能病毒也信软件之间快速传送。当然伴随着文件的发送,可能病毒也会同时发送一些欺骗性的文字,使得接收方确信是发送方发会同时发送一些欺骗性的文字,使得接收方确信是发送方发送的文件,从而接收并打什。以送的文
21、件,从而接收并打什。以WORM_BROPIA.F为例,为例,在接收方接收文件后,在接收方接收文件后,显示的窗口如下页图显示的窗口如下页图10.3所示所示。21防范措施:防范措施:建议企业使用技术手段,在防火墙的设置中,对企业内部所使建议企业使用技术手段,在防火墙的设置中,对企业内部所使用的即时通信软件的一些端口进行阻挡,以禁止此类即时通用的即时通信软件的一些端口进行阻挡,以禁止此类即时通信软件的文件传送功能。信软件的文件传送功能。图10.3即时通讯软件传播病毒2210.2病毒触发机制病毒触发机制 病毒触发的可触发性是病毒的攻击性和潜伏性之间的调病毒触发的可触发性是病毒的攻击性和潜伏性之间的调整
22、杠杆,可以控制病毒感染和破坏的频度,兼顾杀伤力和潜整杠杆,可以控制病毒感染和破坏的频度,兼顾杀伤力和潜伏性。伏性。过于苛刻的触发条件,可能使病毒有好的潜伏性,但不过于苛刻的触发条件,可能使病毒有好的潜伏性,但不易传播,只具低杀伤力。而过于宽松的触发条件将导致病毒易传播,只具低杀伤力。而过于宽松的触发条件将导致病毒频繁感染与破坏,容易暴露,导致用户做反病毒处理,也不频繁感染与破坏,容易暴露,导致用户做反病毒处理,也不能有大的杀伤力。计算机病毒在传染和发作之前,往往要判能有大的杀伤力。计算机病毒在传染和发作之前,往往要判断某些特定条件是否满足,满足则传染或发作,否则不传染断某些特定条件是否满足,满
23、足则传染或发作,否则不传染或不发作,这个条件就是计算机病毒的触发条件。实际上病或不发作,这个条件就是计算机病毒的触发条件。实际上病毒采用的触发条件花样繁多,从中可以看出病毒作者对系统毒采用的触发条件花样繁多,从中可以看出病毒作者对系统的了解程度及其丰富的想像力和创造力。的了解程度及其丰富的想像力和创造力。23 目前病毒采用的触发条件主要有以下几种:目前病毒采用的触发条件主要有以下几种:(1)日期触发:许多病毒采用日期作为触发条件。日期触发大体日期触发:许多病毒采用日期作为触发条件。日期触发大体包括:特定日期触发、月份触发、前半年后半年触发等。包括:特定日期触发、月份触发、前半年后半年触发等。(
24、2)时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。时间触发、文件最后写入时间触发等。(3)键盘触发:有些病毒监视用户的击键动作,当病毒预定的键键盘触发:有些病毒监视用户的击键动作,当病毒预定的键被击时、病毒被激活,进行某些特定操作。被击时、病毒被激活,进行某些特定操作。(4)感染触发:大部分病毒感染需要触发条件,而相当数量的病感染触发:大部分病毒感染需要触发条件,而相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括:运
25、行感染文件个数触发、感染序数称为感染触发。它包括:运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。触发、感染磁盘数触发、感染失败触发等。24(5)启动触发:病毒对机器的启动次数计数,并将此值作为触发启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。条件称为启动触发。(6)访问磁盘次数触发:病毒对磁盘访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,访问的次数进行计数,以预定次数作为触发条件。以预定次数作为触发条件。(7)调用中断功能触发:病毒对中断调用次数计数,以预定次数调用中断功能触发:病毒对中断调用次数计数,以预定次数作为触发条件。作为触发条件。
26、(8)CPU型号型号/主板型号触发:病毒能识别运行环境的主板型号触发:病毒能识别运行环境的CPU型号型号/主板型号,以预定主板型号,以预定CPU型号型号/主板型号作为触发条件,这种病主板型号作为触发条件,这种病毒的触发方式奇特罕见。被计算机病毒使用的触发条件是多毒的触发方式奇特罕见。被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组合起来的触发条件。是使用由多个条件组合起来的触发条件。25 在病毒完成了自身的传播行为后,如果不能保证自身在在病毒完成了自身的传播行为后,如果不能保证自身在下一次的
27、系统启动时被再次执行,那病毒的生命期就会大大下一次的系统启动时被再次执行,那病毒的生命期就会大大缩短。因此病毒会利用系统中一些可以用以自动执行程序的缩短。因此病毒会利用系统中一些可以用以自动执行程序的设定以保证自身可以被自动执行。通常病毒通过以下几种方设定以保证自身可以被自动执行。通常病毒通过以下几种方式保证自身的启动:式保证自身的启动:修改系统注册表;修改系统注册表;修改系统配置文件;修改系统配置文件;添加自身为系统服务;添加自身为系统服务;系统启动文件夹;系统启动文件夹;其他方式。其他方式。以下依据病毒使用各种不同的自启动方式进行讨论以下依据病毒使用各种不同的自启动方式进行讨论2610.2
28、.1只通过修改系统注册表自启动只通过修改系统注册表自启动 在在Windows的注册表中,所有的数据都是通过一种树状的注册表中,所有的数据都是通过一种树状结构以根键和子键的方式组织起来,就像磁盘文件系统的目结构以根键和子键的方式组织起来,就像磁盘文件系统的目录结构一样。每个键都包含了一组特定的信息,每个键的键录结构一样。每个键都包含了一组特定的信息,每个键的键名都是和它所包含的信息相关联的。以下简述了注册表最顶名都是和它所包含的信息相关联的。以下简述了注册表最顶层的五个根键所代表的含义:层的五个根键所代表的含义:HKEY_CLASSES_ROOT管理文件系统。根据在管理文件系统。根据在Windo
29、ws中中安装的应用程序的扩展名,该根键指明其文件类型的名称,安装的应用程序的扩展名,该根键指明其文件类型的名称,相应打开该文件所要调用的程序等信息。相应打开该文件所要调用的程序等信息。HKEY_CURRENT_USER管理系统当前的用户信息。在这管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在用户登录包括用户登录用户名和暂存的密码。在用户登录Windows时,时,其 信 息 从其 信 息 从 H K E Y _ U S E R S 中 相 应 的 项 复 制 到中 相 应 的
30、项 复 制 到HKEY_CURRENT_USER中。中。27HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE管理当前系统硬件配置。在这个根键中保管理当前系统硬件配置。在这个根键中保存了本地计算机硬件配置数据,此根键下的子关键字包括在存了本地计算机硬件配置数据,此根键下的子关键字包括在SYSTEM.DATSYSTEM.DAT中,用来提供中,用来提供HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE所需的信息,所需的信息,或者在远程计算机中可访问的一组键中。这个根键里面的许或者在远程计算机中可访问的一组键中。这个根键里面的许多子键与多子键与System
31、.iniSystem.ini文件中设置项类似。文件中设置项类似。HKEY_USERSHKEY_USERS管理系统的用户信息。在这个根键中保存了存放在管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在户的预配置信息都存储在HKEY_USERSHKEY_USERS根键中。根键中。HKEY_USERSHKEY_USERS是是远程计算机中访问的根键之一。远程计算机中访问的根键之一。28HKEY_CURRENT_CONFIG管理当前用户的系统配置。在这管理当前用户的系统配置。在这个根键
32、中保存着定义当前用户桌面配置个根键中保存着定义当前用户桌面配置(如显示器等等如显示器等等)的数的数据,该用户使用过的文档列表据,该用户使用过的文档列表(MRU);应用程序配置和其他;应用程序配置和其他有关当前用户的信息,有关当前用户的信息,系统注册表应用系统注册表应用 通常,一个病毒在感染系统时,通过改变注册表的自启通常,一个病毒在感染系统时,通过改变注册表的自启运键值,即在以下的注册表键值中添加自身的程序项目,以运键值,即在以下的注册表键值中添加自身的程序项目,以保证自身在系统启动时执行起来:保证自身在系统启动时执行起来:29以以WORM_MYDOOM.A为例说明,该病毒会生成以下的注册为例
33、说明,该病毒会生成以下的注册表项目以保证自己的执行:表项目以保证自己的执行:而而WORM_AGOBOT.A则会生成以下注册表键值:则会生成以下注册表键值:30 另外,对于另外,对于Windows系统来说,注册表中还记录了特定系统来说,注册表中还记录了特定类型文件打开时的默认关联方式,某些病毒会通过修改这一类型文件打开时的默认关联方式,某些病毒会通过修改这一关联方式,使得用户在打开某种类型的文件时,病毒程序反关联方式,使得用户在打开某种类型的文件时,病毒程序反而被执行起来。例如:而被执行起来。例如:31 这些这些“1 1*”需要被赋值,如果将其改为需要被赋值,如果将其改为“server.exes
34、erver.exe1 1*”,server.exeserver.exe将在执行相关类型的文件时被执行,理将在执行相关类型的文件时被执行,理论上可以更改任意类型的文件类型,使之被访问时同时执行论上可以更改任意类型的文件类型,使之被访问时同时执行其他程序。使用这种方式的典型病毒有其他程序。使用这种方式的典型病毒有WORM_LOVGATE.FWORM_LOVGATE.F,该,该病毒修改了如下文件的关联方式:病毒修改了如下文件的关联方式:所以每当用户双击打开一个文本文件时,所以每当用户双击打开一个文本文件时,WORM_LOVGATE.FWORM_LOVGATE.F都都会被执行起来。会被执行起来。321
35、0.2.2 通过修改系统配置文件自启动通过修改系统配置文件自启动 在在WindowsWindows中包含了两个遗留自中包含了两个遗留自Windows3.1Windows3.1时代的系统配时代的系统配置文:置文:windows.iniwindows.ini和和system.inisystem.ini。这两个文件中也可以输。这两个文件中也可以输入一些自启动信息,简单说明如下:入一些自启动信息,简单说明如下:这两个变量用于自动启动程序。这两个变量用于自动启动程序。ShellShell变量指出了要在系统启动时执行的程序列表。变量指出了要在系统启动时执行的程序列表。一般情况下,上述的变量在默认情况下是不
36、存在于这两个文件一般情况下,上述的变量在默认情况下是不存在于这两个文件中的。中的。3310.2.3 10.2.3 通过系统启动文件夹自启动通过系统启动文件夹自启动 在在WindowsWindows系统中,系统启动文件夹的位置可以通过如下注册系统中,系统启动文件夹的位置可以通过如下注册表键获得:表键获得:可以在该文件夹中放人欲执行的程序,或直接修改其值指向放可以在该文件夹中放人欲执行的程序,或直接修改其值指向放置要执行的程序的路径。置要执行的程序的路径。3410.3 可疑系统诊断可疑系统诊断3510.3.1判断可疑系统的常用方法判断可疑系统的常用方法 通常对一个怀疑有病毒的系统检查从以下几个方面
37、着手:通常对一个怀疑有病毒的系统检查从以下几个方面着手:l 用户账号用户账号l 网络共享网络共享l 安全设定安全设定l 漏洞扫描漏洞扫描p 用户账号的检查用户账号的检查 确认所有用户账号都使用复杂的密码,以避免管理员账号被确认所有用户账号都使用复杂的密码,以避免管理员账号被病毒使用字典攻击的手法攻破,一般的口令设定建议如下:病毒使用字典攻击的手法攻破,一般的口令设定建议如下:l 长度至少为长度至少为8位;位;l 数字和字母混排;数字和字母混排;至少有一个特殊字符。至少有一个特殊字符。网络共享的检查网络共享的检查 检查整个局域网中的网络共享都设置了相应的权限,不检查整个局域网中的网络共享都设置了
38、相应的权限,不存在完全开放写权限的网络共享。以有效的阻断病毒通过网存在完全开放写权限的网络共享。以有效的阻断病毒通过网络共享传播的方式络共享传播的方式安全设定的检查安全设定的检查 查看重要系统是否安装了合适的防病毒软件,而且是否查看重要系统是否安装了合适的防病毒软件,而且是否正确配置并经常更新。确保系统受到妥善的保护正确配置并经常更新。确保系统受到妥善的保护漏洞扫描漏洞扫描 对整个网络环境实施漏洞扫描,查看网络环境中可能存对整个网络环境实施漏洞扫描,查看网络环境中可能存在的漏洞环节,以有效的阻断病毒通过漏洞传播的方式。在的漏洞环节,以有效的阻断病毒通过漏洞传播的方式。3710.3.2收集可疑系
39、统的常用方法收集可疑系统的常用方法趋势科技提供了一个可以全面收集系统信息,以更快速的查找趋势科技提供了一个可以全面收集系统信息,以更快速的查找可疑的样本工具:可疑的样本工具:sic,该工具为一个命令行工具,以下以该,该工具为一个命令行工具,以下以该工具为例进行简单的讨论。工具为例进行简单的讨论。该工具的全称为该工具的全称为SystemInformationCollectTool,使用方法相当,使用方法相当简单,只要在命令行下输入简单,只要在命令行下输入sica命令,就会生成一个名为命令,就会生成一个名为siclog.txt的文件,该文件包含了系统中绝大多数系统中病毒的文件,该文件包含了系统中绝
40、大多数系统中病毒可能利用的设定以便于诊断。可能利用的设定以便于诊断。程序执行后显示的界面如下页程序执行后显示的界面如下页图图10.4所示所示。一般情况下,可以根据生成的日志一般情况下,可以根据生成的日志siclog.tXtsiclog.tXt中的以下中的以下项目项目(见下页图见下页图10.510.5),判定是否存在可疑文件。,判定是否存在可疑文件。图10.4 系统信息收集工具执行展示 图10.5 日志文件中的可疑项目从图中显示,该系统的注册表自启动项目下存在相当多的可疑从图中显示,该系统的注册表自启动项目下存在相当多的可疑项目,这些值都可以被判定为可疑文件。项目,这些值都可以被判定为可疑文件。
41、4010.4 被感染系统的清理被感染系统的清理 在确定了病毒文件名称后,通常可以使用以下的方法进在确定了病毒文件名称后,通常可以使用以下的方法进行感染系统的清理。行感染系统的清理。p 终止恶意程序终止恶意程序 简单地说,在这一步中,就是终止正在内存中运行的恶简单地说,在这一步中,就是终止正在内存中运行的恶意程序进程,具体操作步骤如下:意程序进程,具体操作步骤如下:(1)(1)打开打开WindowsWindows任务管理器任务管理器(在在Windows95/98/MEWindows95/98/ME系统中,系统中,按按CtrlCtrlAltAltDeleteDelete;在;在WindowsNT/
42、2000/XPWindowsNT/2000/XP系统中,按系统中,按CtrlCtrlShiftShiftEscEsc,然后点击进程选项卡,然后点击进程选项卡);(2)(2)在运行程序列表中,找到进程:在运行程序列表中,找到进程:SMAZ.exeSMAZ.exe;(3)选择恶意程序进程,然后点击结束任务或结束进程)选择恶意程序进程,然后点击结束任务或结束进程按钮按钮(取决于取决于Windows的版本的版本);()为了检查恶意程序是否被终止,关掉任务管理器,为了检查恶意程序是否被终止,关掉任务管理器,然后再打开;然后再打开;(5)关掉任务管理器。)关掉任务管理器。注意:注意:在运行在运行Windo
43、ws95/98/ME的系统中,任务管理器的系统中,任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。否则,继续进行下面的步骤,注意附加说明。意程序进程。否则,继续进行下面的步骤,注意附加说明。p 删除注册表中的自启动项目删除注册表中的自启动项目 在注册表中删除注册表中自动运行项目来阻止恶意程序在注册表中删除注册表中自动运行项目来阻止恶意程序在启动时执行:在启动时执行:(1)点击开始运行,输入点击开始运行,输入REGEDIT,按,按Enter,打开注,打开注册表编辑器;册表编辑器;(2)在注册表编辑器中查找并搜索包含可疑
44、文件的项目,在注册表编辑器中查找并搜索包含可疑文件的项目,进行清理:进行清理:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVCurrentVersionersionRunRun;(3)关闭注册表编辑器。关闭注册表编辑器。注意:注意:如果不能按照上述步骤终止在内存中运行的恶意如果不能按照上述步骤终止在内存中运行的恶意进程,请重启系统。进程,请重启系统。删除恶意程序生成文件删除恶意程序生成文件 这一步可删除恶意程序生成的文件:这一步可删除恶意程序生成的文件:(1)(1)点击开始运行。输入点击开始运行。输入ExplorerExplorer,按,按EnterEnter,打开,打开WindowsWindows资源管理器;资源管理器;(2)(2)搜索之前被判定为病毒的文件;搜索之前被判定为病毒的文件;(3)(3)将所有找到的文件删除;将所有找到的文件删除;(4)(4)关闭关闭WindowsWindows资源管理器。资源管理器。第第10章结束章结束!
