手动分析及清除病毒.通论

显示全部楼层 · 发表于 2010-5-30 14:13:44

本帖最后由 qq405165798 于 2010-5-30 14:27 编辑

手动分析及清除病毒.通论
大体流程:恢复安全软件的性能,再利用安全软件清除未运行的垃圾.

由于一旦病毒运行后,都要首先干掉安全软件, 致使往往杀毒软件能查出该病毒也没有机会杀掉.
我做的是,把病毒的运行机制破坏掉,让病毒变成非运行的程序.然后杀软就能轻松清除这些不运行的病毒了.方法很简单,在最后,只有几行.

该方法不能说能对付所有病毒.但由于病毒之间有相当多的共同点,所以该方法还是可以对付大部分的病毒的,有一定的通用性.

注意的是,这样做完后,一定不要乱动已有的文件,找个好点杀软来个全盘扫描.不然被感染的文件和未运行的病毒都是你下次再中毒的隐患.

本人老鸟,再老也是鸟,不是虾.有不对的地方,还是多指正.

此帖是我发布到校内资源共享站的.看到有些价值就转过来.

郑重警告：杀毒方法只供给病毒已经在运行的同学使用．如果机器运行正常，千万不要关掉杀软，然后蛋疼的双击病毒运行．如果想测试，请用虚拟机virtualBox．

看到有同学说这个病毒很时髦，一时蛋疼，分析一下．
工具：MD ,XT,
环境：virtualBox，256M内存,5G硬盘,deepin精简XPsp2
目标:SysAnti.exe md5:042705d8e0b7c93985c0ad6526416929

分析:
下面是在完全没有杀软的环境下测试的. 如果自己有安全软件,下面的步骤可能不会发生或没有效果.特此说明.
首先启动MD.启动病毒.一路允许.然后查看日志.发现的动作大概有:
1. 建立几个c:\windows\fonts\*.fon文件.文件名随机.这个文件夹windows默认不能直接查看文件.只有用winrar才能看到. 但当病毒运行起来,winrar也看不到了.
2.访问网络
进程: c:\documents and settings\administrator\桌面\sysanti.exe
目标: TCP [本机 : 1032] -> [221.231.138.45 : 80 (http)]
221.231.138.45南京电信用户,不是什么好鸟.

显示全部楼层 · 发表于 2010-5-30 14:15:43

本帖最后由 qq405165798 于 2010-5-30 14:25 编辑

回复 1# qq405165798

3.IFEO 劫持
例:
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe\Debugger
值: ntsd -d
IFEO的意思大体就是被劫持的程序被替换成后面的程序执行.作用是干掉安软.大家可以看到,360是第一要被干掉的.卡巴,瑞星,金山之流的也被列入黑名单.还有诸如 icesword的安全软件.也被屏蔽了.
360hotfix.exe             ntsd -d
360rpt.exe             ntsd -d
360Safe.exe             ntsd -d
360safebox.exe             ntsd -d
360tray.exe             ntsd -d
adam.exe             ntsd -d
AgentSvr.exe             ntsd -d
AntiArp.exe             ntsd -d
AppSvc32.exe             ntsd -d
arvmon.exe             ntsd -d
AutoGuarder.exe             ntsd -d
autoruns.exe             ntsd -d
avgrssvc.exe             ntsd -d
AvMonitor.exe             ntsd -d
avp.com             ntsd -d
avp.exe             ntsd -d
CCenter.exe             ntsd -d
ccSvcHst.exe             ntsd -d
FileDsty.exe             ntsd -d
findt2005.exe             ntsd -d
FTCleanerShell.exe             ntsd -d
HijackThis.exe             ntsd -d
IceSword.exe             ntsd -d
iparmo.exe             ntsd -d
Iparmor.exe             ntsd -d
IsHelp.exe             ntsd -d
isPwdSvc.exe             ntsd -d
kabaload.exe             ntsd -d
KaScrScn.SCR             ntsd -d
KASMain.exe             ntsd -d
KASTask.exe             ntsd -d
KAV32.exe             ntsd -d
KAVDX.exe             ntsd -d
KAVPFW.exe             ntsd -d
KAVSetup.exe             ntsd -d
KAVStart.exe             ntsd -d
killhidepid.exe             ntsd -d
KISLnchr.exe             ntsd -d
KMailMon.exe             ntsd -d
KMFilter.exe             ntsd -d
KPFW32.exe             ntsd -d
KPFW32X.exe             ntsd -d
KPFWSvc.exe             ntsd -d
KRepair.COM             ntsd -d
KsLoader.exe             ntsd -d
KVCenter.kxp             ntsd -d
KvDetect.exe             ntsd -d
kvfw.exe             ntsd -d
KvfwMcl.exe             ntsd -d
KVMonXP.kxp             ntsd -d
KVMonXP_1.kxp             ntsd -d
kvol.exe             ntsd -d
kvolself.exe             ntsd -d
KvReport.kxp             ntsd -d
KVScan.kxp             ntsd -d
KVSrvXP.exe             ntsd -d
KVStub.kxp             ntsd -d
kvupload.exe             ntsd -d
kvwsc.exe             ntsd -d
KvXP.kxp             ntsd -d
KvXP_1.kxp             ntsd -d
KWatch.exe             ntsd -d
KWatch9x.exe             ntsd -d
KWatchX.exe             ntsd -d
LiveUpdate360.exe             ntsd -d
loaddll.exe             ntsd -d
MagicSet.exe             ntsd -d
mcconsol.exe             ntsd -d
mmqczj.exe             ntsd -d
mmsk.exe             ntsd -d
NAVSetup.exe             ntsd -d
nod32krn.exe             ntsd -d
nod32kui.exe             ntsd -d
PFW.exe             ntsd -d
PFWLiveUpdate.exe             ntsd -d
QHSET.exe             ntsd -d
Ras.exe             ntsd -d
Rav.exe             ntsd -d
RavCopy.exe             ntsd -d
RavMon.exe             ntsd -d
RavMonD.exe             ntsd -d
RavStore.exe             ntsd -d
RavStub.exe             ntsd -d
ravt08.exe             ntsd -d
RavTask.exe             ntsd -d
RegClean.exe             ntsd -d
RegEx.exe             ntsd -d
rfwcfg.exe             ntsd -d
RfwMain.exe             ntsd -d
rfwolusr.exe             ntsd -d
rfwProxy.exe             ntsd -d
rfwsrv.exe             ntsd -d
RsAgent.exe             ntsd -d
Rsaupd.exe             ntsd -d
RsMain.exe             ntsd -d
rsnetsvr.exe             ntsd -d
RSTray.exe             ntsd -d
runiep.exe             ntsd -d
safebank.exe             ntsd -d
safeboxTray.exe             ntsd -d
safelive.exe             ntsd -d
scan32.exe             ntsd -d
ScanFrm.exe             ntsd -d
shcfg32.exe             ntsd -d
smartassistant.exe             ntsd -d
SmartUp.exe             ntsd -d
SREng.exe             ntsd -d
SREngPS.exe             ntsd -d
symlcsvc.exe             ntsd -d
syscheck.exe             ntsd -d
Syscheck2.exe             ntsd -d
SysSafe.exe             ntsd -d
ToolsUp.exe             ntsd -d
TrojanDetector.exe             ntsd -d
Trojanwall.exe             ntsd -d
TrojDie.kxp             ntsd -d
UIHost.exe             ntsd -d
UmxAgent.exe             ntsd -d
UmxAttachment.exe             ntsd -d
UmxCfg.exe             ntsd -d
UmxFwHlp.exe             ntsd -d
UmxPol.exe             ntsd -d
UpLive.exe             ntsd -d
WoptiClean.exe             ntsd -d
zxsweep.exe             ntsd -d

4.创建文件C:\Program Files\Common Files\SysAnti.exe
5.将这个文件添加为启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
C:\Program Files\Common Files\SysAnti.exe
6.加载驱动
进程: c:\windows\system32\services.exe
目标: c:\windows\fonts\nlde.fon
不知道什么目的,未发现挂载底层SSDT,应该不属于R0(内核级)病毒.
7.修改其他进程的内存
进程: c:\program files\common files\sysanti.exe
目标: c:\windows\system32\svchost.exe
应该是为了注入其他进程,一般任务管理器中没有可疑进程,但sysanti.exe可以以svchost.exe的身份活动
8修改HOST文件.
以第一个为例,就是把www.360.cn解析为127.0.0.1. 127.0.0.1是本机IP,于是www.360.cn就悲剧的打不开了.
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 virscan.org
127.0.0.1 www.virscan.org
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
127.0.0.1 www.kafan.cn
127.0.0.1 bbs.kafan.cn
9.在每个盘下面生成 autorun.inf和SysAnti.exe
10.可能还有其他,没探测到.估计也不重要.

杀毒.
如果机器原来有杀软的话,这种autorun.inf应该是很难有机会执行,八成会被杀软干掉.现在假设有小白让这个病毒跑起来了.一旦病毒跑起来,几乎所有杀软都被干掉了.为了模拟,先让这个毒运行2分钟,再重启,再让他运行2分钟,再开始杀毒.

运行XT.如果XT被IFEO劫持的话,改个名就能运行. 这个病毒没有对XT劫持,不需要修改.
1.在本工具配置选项卡,把配置里的钩子都打上.
2.系统杂项选项卡.映像劫持.全选所有, 删除注册表和文件
3.启动项选项卡.找sysanti.删除信息和文件.
4.文件选项卡.找到每个根目录下的autorun.info和 sysanti.exe删掉.
5.然后重启.什么?重启不了!怎么办.用你身上极软又极硬的东西戳住关机5s.当然那是用手指.用其他的,小心触电.
6.重启后发现,根目录下没有sysanti.exe.
如果你不用XT,直接删sysanti.exe,会发现删完又会出现.病毒的备份呀,产生物都没有删,因为如果没有程序调用他,他们没有危险的.然后随便装个杀软,全盘扫一下吧.现在杀软能用了.
病毒评价:这个病毒是太善良还是运行时间不够呀.没有感染其他文件.总体来说是个不算太坏的病毒.假如遇到删你文件的病毒,你就哭吧.

显示全部楼层 · 发表于 2010-5-30 14:17:07

本帖最后由 qq405165798 于 2010-5-30 14:24 编辑

今天附件没法上传.
只有传到ys168上了http://e.ys168.com/?qq405165798

显示全部楼层 · 发表于 2010-5-30 15:26:55

看到通论二字就进来了
虽然此通论非彼通论也

显示全部楼层 · 发表于 2010-5-30 17:48:57

你杀毒流程根本就不对这也能叫通论？

显示全部楼层 · 发表于 2010-5-30 17:51:57

回复 5# guigui_cs

随便乱写,仅供参考
有更好的流程,最好写出来,给不知道的朋友共享下.

显示全部楼层 · 发表于 2010-5-30 17:57:33

本帖最后由 guigui_cs 于 2010-5-30 17:59 编辑

回复 6# qq405165798

因为我没从你的解决办法中看到针对这个病毒的解决思路，和解决一些其他病毒的解决思路，也就是你题目说的通论

显示全部楼层 · 发表于 2010-5-30 21:31:17

个人菜鸟，不太会，纯属支持！！

显示全部楼层 · 发表于 2010-5-30 22:52:34

本帖最后由余乐于 2010-5-30 22:56 编辑

既然楼主是通论，那我来贡献一点吧，好久没玩过手杀了，，远离病毒，珍惜生命啊。。。
通杀法
用ARK工具，检查进程，DLL，服务，驱动，IE加载项，AUTORUN，开机启动项，IFEO，winsock，文件关联等诸多地方，搜刮出所有病毒的文件，然后拿个DOSDEL删除器添加到列表里，重启后自动进DOS干掉这些文件。。。
重启再进系统病毒文件已经全被X了，这时候修复一下系统就行了，删除注册表里那些启动项，服务，驱动之类的残留痕迹即可。。。
PS:手杀病毒用于练手，了解系统，，，等修炼得差不多也别玩了，纯属浪费时间。自己的话防好，别人的话做个还原，中毒让他们还原去，要不就重装。。。留意偶签名。。嘿嘿