收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 软件区 软件综合讨论区 避实就虚 另辟蹊径 绝杀木马
12下一页
返回列表 发新帖
查看: 1746|回复: 11
收起左侧

[讨论] 避实就虚 另辟蹊径 绝杀木马

 关闭 [复制链接]
virusdefender
发表于 2012-6-18 17:50:50 | 显示全部楼层 |阅读模式
现在的病毒、木马真是防不胜防,不知道怎么着就中招了,我的电脑最近也幸运“挂彩”。病毒经过了加壳、加花等特殊处理,杀毒软件也被病毒关闭,正在一筹莫展之际,却发现病毒有个薄弱环节:存在一个用于自我保护的VBS脚本,把它除掉后,病毒轻松剿灭。

细致分析 揪出元凶
既然杀毒软件已被关闭,只能靠手工了。首先运行系统附件里的命令提示符,执行命令“netstat -ano”发现了本地的8080端口处于LISTENING(监听)状态,可以肯定是木马服务端打开的连接端口。将电脑设置为“显示所有文件和文件夹”后,发现所有的分区根目录下面多了Autorun.inf及config.vbs两个文件,其文件属性均为隐藏、只读、系统(病毒惯用用的招数)。
很明显,分区根目录下的Autorun.inf文件的作用是当用户双击打开磁盘分区时运行某指定的程序。用记事本打开Autorun.inf看到只有四行代码,关键代码为“shell\1\command=wscript.exe config.vbs”即运行config.vbs。可见“config.vbs”才是幕后主谋,用记事本打开后发现代码中的字符全部用chr(*)加密代替了(见图1)。
img201206051839470.jpg

这么做的目的显然是不让别人读懂代码了解其机理,我们要想办法破解。新建一文本文档在其中输入代码msgbox (),拷贝config.vbs中除了execute之外的所有代码到()中,保存该文本文档并改名为jiemi.vbs。双击运行jiemi.vbs弹出一个对话框,可以看到config.vbs中所有的代码被解密显示为可以读懂的字符(见图2)。
img201206051839471.jpg
幕后分析 绝杀病毒
其实config.vbs就是木马作者编写的一段VB脚本,不需要多高深的知识很容易看懂。从图3中可知该脚本对系统做了以下操作:在C:\下生成一个temp.reg文件用来修改注册,
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中添加
"system"="wscript.exe C:\\windows\\config.vbs"
"svchost"="C:\WINDOWS\svchost.exe"
两个自启动项。这也告诉我们C:\WINDOWS\svchost.exe一定就是木马服务端主程序。脚本在temp.reg执行后删除了该文件并将config.vbs拷贝到C:\windows下。另外,脚本还删除了注册表的[HKEY_CLASSES_ROOT\lnkfile\IsShortcut]键值,在分区根目录下生成名为“System Volume Information”的指向C:\config.vbs的快捷方式。

认清了木马的伎俩,则反其道清除之即可。不过,首先要结束木马进程,通过分析知道木马的进程为“svchost.exe”。打开命令提示符,运行命令“tasklist /svc”找到服务项为“暂缺”的“svchost.exe”进程,记住进程的PID(假如为1824),在命令提示符下执行命令“taskkill /F /PID 1824”接杀死木马进程(见图3)。最后,依据上面的分析恢复注册表项,删除与木马相关的文件即可。
img201206051839472.jpg
小提示:在杀毒软件无能的情况下,除了通过脚本分析了解病毒木马的运行机制进行绝杀外,对于某些不加壳的病毒木马可用W32asm、Ollydbg等反汇编工具打开,然后查看字符串了解其运行机制,最后对症下药进行清除。   


小编物语:从这篇文章我们可以学到一种查杀未知病毒的思路:在面对未知木马时,我们或许无法得知它的木马主体,但病毒会附属产生一些别的文件,例如Autorun.inf,虽然很平常,但我们用记事本打开仔细分析一下就知道了Autorun.inf所关联的另一个病毒文件:VBS脚本,再接着分析我们就解读了脚本理清病毒的运行机制(对系统进行的操作),然后反向破坏它,修复病毒修改的东西,最后删除病毒就很容易了。


http://soft.cfan.com.cn/safe/201206/05/1338892806d69952.shtml

评分

参与人数 1经验 +20 收起 理由
流年春去 + 20 版区有你更精彩: )

查看全部评分

回复

举报

流年春去
发表于 2012-6-18 17:55:08 | 显示全部楼层
技术帝来了,欢迎经常来
回复

举报

jienqiu
发表于 2012-6-18 18:25:49 | 显示全部楼层
刚看过,不尊评论!楼主的问题,我不知道。
回复

举报

zkira
发表于 2012-6-18 22:50:25 来自手机 | 显示全部楼层

佩服,技术帝啊
回复

举报

hivysun
发表于 2012-6-18 22:52:05 | 显示全部楼层
果然是技术帝
回复

举报

箪莼ゞ汉氺
发表于 2012-6-18 23:13:00 | 显示全部楼层
膜拜
回复

举报

songwinlong
发表于 2012-6-18 23:18:51 | 显示全部楼层
果然高深,不懂
回复

举报

LOCKLOCK
发表于 2012-6-19 07:50:58 | 显示全部楼层
谢谢分享,不过这样的帖子发到新人区,貌似楼主不仅是技术帝,还有炫耀帝的嫌疑。
回复

举报

virusdefender
 楼主| 发表于 2012-6-19 07:53:47 | 显示全部楼层
LOCKLOCK 发表于 2012-6-19 07:50
谢谢分享,不过这样的帖子发到新人区,貌似楼主不仅是技术帝,还有炫耀帝的嫌疑。

只是想让新人们了解些知识罢了,不是我写的,炫耀什么啊?有时间分享一下我在杂志上发表的查杀病毒的文章,那才是炫耀呢。
回复

举报

LOCKLOCK
发表于 2012-6-19 07:56:12 | 显示全部楼层
virusdefender 发表于 2012-6-19 07:53
只是想让新人们了解些知识罢了,不是我写的,炫耀什么啊?有时间分享一下我在杂志上发表的查杀病毒的文章 ...


“有时间分享一下我在杂志上发表的查杀病毒的文章,那才是炫耀呢”-----话说貌似你已经在炫耀了,呵呵
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-3 05:44 , Processed in 0.130673 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表