淺析流行病毒的清除

淺析流行病毒的清除

-江民科技培訓(xùn)2008.03這個(gè)頁(yè)面看有什么異常流行病毒No.6ARP病毒……ARP地址欺騙類病毒（以下簡(jiǎn)稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲(chóng)還要嚴(yán)重得多。ARP協(xié)議的基本功能：通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址。ARP緩存表：在局域網(wǎng)的任何一臺(tái)主機(jī)中，都有一個(gè)ARP緩存表，該表中保存這網(wǎng)絡(luò)中各個(gè)電腦的IP地址和MAC地址的對(duì)照關(guān)系。當(dāng)一臺(tái)主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時(shí)候，會(huì)根據(jù)ARP緩存表里的對(duì)應(yīng)關(guān)系進(jìn)行發(fā)送。

ARP病毒的實(shí)現(xiàn)機(jī)理假設(shè)一個(gè)只有三臺(tái)電腦組成的局域網(wǎng)，該局域網(wǎng)由交換機(jī)(Switch)連接。其中一個(gè)電腦名叫A，代表攻擊方；一臺(tái)電腦叫S，代表源主機(jī)，即發(fā)送數(shù)據(jù)的電腦；另一臺(tái)電腦名叫D，代表目的主機(jī)，即接收數(shù)據(jù)的電腦。準(zhǔn)備發(fā)送數(shù)據(jù)（1）首先查詢自身的ARP緩存表內(nèi)是否有目標(biāo)機(jī)的ARP數(shù)據(jù)記錄。（2）S電腦會(huì)向網(wǎng)內(nèi)發(fā)送廣播，詢問(wèn)“我的IP是192.168.1.2，硬件地址是MAC2，我想知道IP地址為192.168.1.3的電腦的硬件地址是多少？”準(zhǔn)備發(fā)送數(shù)據(jù)正常的數(shù)據(jù)回復(fù)（3）這時(shí)，全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了，包括A電腦和D電腦。實(shí)施ARP欺騙

（★）但是當(dāng)此時(shí)，沉默寡言的A電腦也回話了：“我的IP地址是192.168.1.3，我的硬件地址是MAC1”。ARP欺騙成功（★）這樣就導(dǎo)致以后凡是IP地址為192.168.1.2的S電腦要發(fā)送給D電腦，都將會(huì)發(fā)送給MAC地址為MAC1的A電腦。A電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)！這就是ARP欺騙的過(guò)程。ARP病毒檢測(cè)工具（1）現(xiàn)在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是AntiARPSniffer（現(xiàn)在已更名為ARP防火墻）AntiARPSniffer這個(gè)工具軟件可以較為快捷的定位ARP中毒電腦ARP病毒檢測(cè)工具啟動(dòng)防火墻后，其會(huì)自動(dòng)識(shí)別到網(wǎng)關(guān)MAC地址，并記錄網(wǎng)絡(luò)內(nèi)的ARP數(shù)據(jù)信息。如發(fā)現(xiàn)有ARP攻擊，其在任務(wù)欄的圖標(biāo)會(huì)有閃爍并輔以彈出氣泡的提示。ARP病毒檢測(cè)工具局域網(wǎng)中存在ARP欺騙時(shí)，該數(shù)據(jù)包會(huì)被AntiARPSniffer記錄，該軟件會(huì)以氣泡的形式報(bào)警。這時(shí)，我們?cè)俑鶕?jù)欺騙機(jī)的MAC地址，對(duì)比查找全網(wǎng)的IP－MAC地址對(duì)照表，即可快速定位出中毒電腦。上圖為通過(guò)ARP防火墻檢測(cè)出感染ARP病毒的電腦MAC和IP地址信息。該防火墻還可將攻擊日志保存為文本，以便進(jìn)行打印后核對(duì)。ARP病毒檢測(cè)工具（2）當(dāng)局域網(wǎng)中有ARP病毒欺騙時(shí)，往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包，這時(shí)，流量檢測(cè)機(jī)制應(yīng)該能夠很好的檢測(cè)出網(wǎng)絡(luò)的異常舉動(dòng)，此時(shí)Ethereal這樣的抓包工具就能派上用場(chǎng)。ARP病毒檢測(cè)工具從紅色框內(nèi)的信息可以看出，192.168.0.109這臺(tái)電腦正向全網(wǎng)發(fā)送大量的ARP廣播包，一般的講，局域網(wǎng)中有電腦發(fā)送ARP廣播包的情況是存在的，但是如果不停的大量發(fā)送，就很可疑了。而這臺(tái)192.168.0.109電腦正是一個(gè)ARP中毒電腦。雙劍合璧以上兩種方法有時(shí)需要結(jié)合使用，互相印證，這樣可以快速準(zhǔn)確的將ARP中毒電腦定位出來(lái)。流行病毒No.5鏡像劫持病毒(進(jìn)程鏡像劫持類病毒)病毒樣本名稱：trojandownloader.agent.qwc

病毒特點(diǎn)：強(qiáng)力關(guān)閉安全軟件，使其無(wú)法運(yùn)行。鏡像劫持病毒的特征⑴病毒運(yùn)行后會(huì)自我復(fù)制到被感染計(jì)算機(jī)的系統(tǒng)目錄下system32目錄，并重新命名為“dllhos.exe”。⑵修改被感染計(jì)算機(jī)中的注冊(cè)表鍵值HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions，其采用進(jìn)程映像劫持技術(shù)，使接近五十種殺毒、安全軟件開(kāi)啟時(shí)都會(huì)按照注冊(cè)表中的鍵值啟動(dòng)dllhos.exe，導(dǎo)致安全軟件無(wú)法正常使用。鏡像劫持病毒特征注冊(cè)表HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions鍵值下的內(nèi)容截圖流行病毒No.4機(jī)器狗病毒……第一代變種病毒樣本名稱：Trojan.DogArp.a

病毒特點(diǎn)：覆蓋系統(tǒng)文件，穿透系統(tǒng)還原軟件機(jī)器狗病毒變種第一代的特征⑴病毒運(yùn)行后會(huì)在被感染計(jì)算機(jī)的系統(tǒng)目錄下System32文件夾內(nèi)創(chuàng)建一個(gè)惡意程序“userinit.exe”，或者直接覆蓋原有的“userinit.exe”。該程序?yàn)槟抉R下載器，會(huì)在被感染計(jì)算機(jī)的后臺(tái)連接黑客指定站點(diǎn)獲取其它惡意程序，并在下載后自動(dòng)安裝。⑵通過(guò)在被感染計(jì)算機(jī)的系統(tǒng)目錄下\System32\drivers\文件夾內(nèi)釋放一個(gè)惡意病毒組件“pcihdd.sys”驅(qū)動(dòng)文件。該文件具有創(chuàng)建磁盤IO接口，自動(dòng)識(shí)別系統(tǒng)盤格式，可進(jìn)行直接讀寫硬盤操作。具有繞過(guò)“冰點(diǎn)還原精靈”、“影子系統(tǒng)”等系統(tǒng)保護(hù)軟件的功能,可以把把其他病毒植入真實(shí)的系統(tǒng)中。流行病毒No.3機(jī)器狗病毒……第二代變種病毒樣本名稱：trojan/psw.onlinegames.rag病毒特點(diǎn)：覆蓋系統(tǒng)文件，穿透系統(tǒng)還原軟件，下載并安裝惡意程序。機(jī)器狗病毒變種第二代的特征⑴通過(guò)釋放“tmp281.tmp”會(huì)覆蓋系統(tǒng)目錄下System32文件夾“explorer.exe”、“conime.exe”、“ctfmon.exe”文件中開(kāi)始部分的代碼，從而實(shí)現(xiàn)其他用途。機(jī)器狗病毒變種第二代特征⑵通過(guò)修改后的系統(tǒng)文件從外網(wǎng)下載并安裝惡意程序，⑶釋放“phy.sys”可直接掛接磁盤I/O接口，從而對(duì)實(shí)際硬盤進(jìn)行直接操作。概念解釋替換：把原目標(biāo)程序的數(shù)據(jù)代碼全部清除掉，用新的數(shù)據(jù)代碼構(gòu)成的新程序來(lái)代替以前的整個(gè)程序。這樣，替換后的程序只有新程序的功能。感染：在不破壞原目標(biāo)程序數(shù)據(jù)代碼的前提下，向原目標(biāo)程序的數(shù)據(jù)代碼中追加上新程序的數(shù)據(jù)代碼。這樣，感染后的程序既有原目標(biāo)程序的功能，又有新程序的功能。覆蓋：從原目標(biāo)程序數(shù)據(jù)代碼的文件頭0地址處開(kāi)始，向后依次執(zhí)行覆蓋寫入新程序的數(shù)據(jù)代碼操作，我們這里只假設(shè)原目標(biāo)程序文件遠(yuǎn)遠(yuǎn)大于新程序。這樣，覆蓋后的程序只執(zhí)行新程序的功能，雖然原目標(biāo)程序的數(shù)據(jù)代碼還存在一部分，但由于沒(méi)有被調(diào)用，所以不會(huì)執(zhí)行。流行病毒No.2機(jī)器狗病毒……第三代變種病毒樣本名稱：TrojanDownloader.Delf.iiu病毒特點(diǎn)：穿透系統(tǒng)還原軟件，下載并運(yùn)行惡意程序，可開(kāi)機(jī)自加載。機(jī)器狗病毒變種第三代的特征⑴會(huì)在被感染計(jì)算機(jī)系統(tǒng)中的臨時(shí)文件夾下釋放一個(gè)惡意驅(qū)動(dòng)文件，命名方式為“~*.tmp”，符號(hào)“*”表示隨機(jī)。⑵會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“\DocumentsandSettings\AllUsers\「開(kāi)始」菜單\程序\啟動(dòng)\”目錄下，并以原文件名稱保存，同時(shí)會(huì)將自身保存到真實(shí)的物理磁盤中，達(dá)到穿透“系統(tǒng)還原保護(hù)程序”的目的。病毒運(yùn)行完畢后可自動(dòng)刪除惡意驅(qū)動(dòng)文件，但該驅(qū)動(dòng)文件仍會(huì)駐留在內(nèi)存中。⑶當(dāng)用戶關(guān)閉或重新啟動(dòng)計(jì)算機(jī)時(shí)，這個(gè)惡意驅(qū)動(dòng)文件還會(huì)把病毒重新再次寫入到真實(shí)磁盤中對(duì)應(yīng)的“啟動(dòng)”文件夾里。從而使病毒每次開(kāi)機(jī)都可以利用“啟動(dòng)”文件夾來(lái)實(shí)現(xiàn)開(kāi)機(jī)自我啟動(dòng)運(yùn)行。流行病毒No.1磁碟機(jī)病毒病毒樣本名稱：Win32/Kdcyy.cb病毒特點(diǎn)：強(qiáng)行關(guān)閉安全軟件，利用ARP病毒進(jìn)行傳播并感染大量文件，消耗系統(tǒng)資源，可通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播，破壞安全模式，注入正常系統(tǒng)進(jìn)程，可實(shí)現(xiàn)隨系統(tǒng)一并啟動(dòng)。

磁碟機(jī)病毒的特征⑴病毒會(huì)強(qiáng)行關(guān)閉目前幾乎所有安全工具軟件、殺毒軟件(江民KV2008可以抵御該病毒)。⑵利用“ARP病毒”在局域網(wǎng)中進(jìn)行自我傳播。[傳播方式：感染了“ARP病毒”的局域網(wǎng)中，除了系統(tǒng)靜態(tài)綁定MAC地址的計(jì)算機(jī)，其他系統(tǒng)所下載的所有正常EXE程序文件都是“磁碟機(jī)”變種(是名稱為“setup.exe”的RAR自解壓安裝包，運(yùn)行后就會(huì)在用戶系統(tǒng)中安裝“磁碟機(jī)”變種)]。⑶在中毒的計(jì)算機(jī)系統(tǒng)中，什么軟件都不運(yùn)行，CPU占用率還會(huì)在50%以上。如果再運(yùn)行些其他程序軟件，CPU占用率就會(huì)接近100%，被感染計(jì)算機(jī)系統(tǒng)會(huì)經(jīng)常死機(jī)或長(zhǎng)時(shí)間的卡住不動(dòng)。忽略系統(tǒng)盤，然后感染其他盤符的EXE文件、網(wǎng)頁(yè)文件、RAR和ZIP壓縮包中的文件等。⑷在所有盤符下生成“autorun.inf”和病毒程序文件體，并且會(huì)事實(shí)檢測(cè)保護(hù)這些文件。會(huì)利用移動(dòng)設(shè)備進(jìn)行自我傳播。⑸破壞注冊(cè)表，使用戶無(wú)法進(jìn)入“安全模式”。破壞注冊(cè)表，使用戶無(wú)法查看“隱藏的系統(tǒng)文件”(時(shí)時(shí)檢測(cè)保護(hù)這個(gè)選項(xiàng))。破壞注冊(cè)表，使用戶注冊(cè)表啟動(dòng)項(xiàng)失效(部分通過(guò)注冊(cè)表啟動(dòng)項(xiàng)開(kāi)機(jī)運(yùn)行的安全軟件就無(wú)法開(kāi)機(jī)啟動(dòng)運(yùn)行了)。⑹利用進(jìn)程守護(hù)技術(shù)，將病毒的“l(fā)sass.exe”、“