一種病毒查殺方法的研究

陳攸鑫 林宏澤 高超 鄭玲玲 閩江學(xué)院計(jì)算機(jī)與控制工程學(xué)院

1 引言

二十世紀(jì)中后期全球首例計(jì)算機(jī)病毒出現(xiàn)以來，計(jì)算機(jī)便飽受病毒攻擊的威脅。

在現(xiàn)代計(jì)算機(jī)技術(shù)發(fā)展地日新月異的背景下，計(jì)算機(jī)病毒也衍生出各種類型，這使得安全人員對(duì)其查殺的難度也越來越大。不過只要努力地去了解計(jì)算機(jī)病毒的各種特點(diǎn)、 原理，也是能從根本上去治理它。現(xiàn)在就以一款經(jīng)典的病毒——熊貓燒香病毒來進(jìn)行查殺探討。

熊貓燒香病毒，短短兩個(gè)月，通過連續(xù)入侵個(gè)人計(jì)算機(jī)、感染網(wǎng)站、破壞數(shù)據(jù)系統(tǒng)等行為，使得數(shù)量龐大的計(jì)算機(jī)用戶蒙受了巨大的損失，被《2006 年度中國(guó)大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全報(bào)告》評(píng)為“毒王”。通過研究該典型病毒，能為我們深入研究病毒起到一個(gè)很好的啟蒙作用。

2 行為特征

2.1 行為綜述

事實(shí)上，之所以稱該病毒為熊貓燒香病毒，是因?yàn)橛?jì)算機(jī)如果中毒，那么其中的可執(zhí)行程序文件的圖標(biāo)便會(huì)被熊貓燒香圖案替換。但該病毒僅會(huì)替換可執(zhí)行文件夾的圖標(biāo)，卻無害于對(duì)系統(tǒng)本身。而變種的熊貓燒香卻危害巨大，用戶的個(gè)人計(jì)算機(jī)中毒后將會(huì)出現(xiàn)無故藍(lán)屏、頻繁性重啟等行為。更嚴(yán)重的是，熊貓燒香病毒的其他變種甚至能夠借助局域網(wǎng)網(wǎng)絡(luò)傳播。這種情況下，局域網(wǎng)絡(luò)系統(tǒng)中大量的計(jì)算機(jī)都有可能被感染，陷入癱瘓?？偟膩砜?，它能感染系 統(tǒng)中exe，com，pif，src，html，asp等文件，它還能終止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的備份文件。

2.2 行為分析

行為分析在反病毒中的應(yīng)用原理,就是在應(yīng)用程序運(yùn)行過程中,檢測(cè)其是否具有病毒的行為特征。

經(jīng)過利用Process Monitor對(duì)該病毒進(jìn)行了全面的行為特征檢測(cè)，其特征可以總結(jié)歸納為以下八點(diǎn)：

①“spoclsv.exe”可執(zhí)行程序會(huì)被熊貓燒香病毒本自身創(chuàng)建，文件根路徑為”C：WINDOWSSYSTEM32DRIVERSspovlsv.exe”。

②熊貓燒香病毒在命令執(zhí)行環(huán)境之下，利用net share指令解除文件共享。

③注冊(cè)表啟動(dòng)項(xiàng)里的安全類軟件相關(guān)信息將會(huì)被徹底刪除。

④在注冊(cè)表的CurrentVersion Run下創(chuàng)建了svcshare這個(gè)自啟動(dòng)項(xiàng)，用于開機(jī)時(shí)啟動(dòng)位于“C：WINDOWSsystem32driversspovlsv.exe”目錄下的病毒文件。

⑤注冊(cè)表里的關(guān)鍵參數(shù)將被修改，使得被創(chuàng)建的隱藏文件不可通過一般的設(shè)置便進(jìn)行顯示，比如熊貓燒香病毒將關(guān)鍵參數(shù)CheckdValue的鍵值便設(shè)置為0等。

⑥病毒將本體復(fù)制到C盤這類的根目錄之下，以“setup.exe”將其命名。與此同時(shí)，新建一個(gè)自啟動(dòng)文件autorun.inf，且利用AutoRunOpen用于病毒的自啟動(dòng)。以上文件均為隱藏文件。

⑦在某些文件目錄之下，病毒新建了如Desktop_.ini一般的隱藏文件。

⑧查看網(wǎng)絡(luò)信息，發(fā)現(xiàn)該病毒不斷向外部進(jìn)行網(wǎng)絡(luò)請(qǐng)求連接，不斷發(fā)包。當(dāng)病毒發(fā)現(xiàn)本身成功地與局域網(wǎng)上其他主機(jī)進(jìn)行通信后，便將本體復(fù)制并利用計(jì)劃任務(wù)激活病毒程序。

3 手動(dòng)查殺

在利用手工查殺的方法來解決熊貓燒香病毒之前，我們需要知道手工查殺的一般流程。

3.1 手動(dòng)查殺通用流程

排查可疑的進(jìn)程：病毒通常會(huì)創(chuàng)建出單個(gè)或者若干個(gè)進(jìn)程，所以要求查殺者能夠區(qū)分出由病毒創(chuàng)建的進(jìn)程，接著結(jié)束可疑進(jìn)程。

檢查注冊(cè)表啟動(dòng)項(xiàng)：為了能夠?qū)崿F(xiàn)自啟動(dòng)的需求，病毒一般會(huì)使用某些方式將本體添入到啟動(dòng)項(xiàng)之中，進(jìn)而完成自啟動(dòng)。因此啟動(dòng)項(xiàng)中的病毒信息需要被徹底清除，從根源解決問題，使病毒不再自啟動(dòng)。

清除病毒的本體：從檢測(cè)啟動(dòng)項(xiàng)步驟中，能夠確定病毒的本地路徑信息，從根源上清除病毒本體文件。

修復(fù)被破壞文件：一般來說，該步驟并不是手工查殺病毒的重點(diǎn)，要進(jìn)行該步驟還需要相對(duì)應(yīng)的軟件進(jìn)行輔助修復(fù)。

3.2 熊貓燒香手動(dòng)查殺

自Windows XP系統(tǒng)開始，微軟操作系統(tǒng)自帶進(jìn)程管理命令tasklist和taskskill分別具有進(jìn)程查詢和結(jié)束功能。使用taskkill命令配合/f 、t 兩個(gè)參數(shù)，便可關(guān)閉病毒程序。

3.2.1 針對(duì)熊貓燒香病毒本身創(chuàng)建一個(gè)名為“spoclsv。exe”的進(jìn)程的行為。查殺者必須檢測(cè)目前系統(tǒng)正運(yùn)行的進(jìn)程，尋找并結(jié)束病毒所創(chuàng)建的進(jìn)程，而且要將該進(jìn)程在硬盤中創(chuàng)建的隱藏文件刪除。

3.2.2 針對(duì)熊貓燒香病毒在系統(tǒng)注冊(cè)表目錄Current VersionRun中，特意創(chuàng)建自啟動(dòng)項(xiàng)svcshare，用于開機(jī)時(shí)啟動(dòng)位于“C：32 drivers SPOVLSV.exe”的病毒文件的行為。查殺者需要對(duì)注冊(cè)表進(jìn)行重新修改，修改代碼如下

3.2.3 針對(duì)熊貓燒香將本體復(fù)制到C盤這類的根目錄之下，以setup.exe將其命名，且新建自啟動(dòng)文件autorun.inf等行為。查殺者需要全盤檢測(cè)病毒創(chuàng)建的文件并刪除。

這里以系統(tǒng)盤檢測(cè)舉例，其他盤符以此類推

經(jīng)過上述免疫操作后，實(shí)驗(yàn)證實(shí)即使運(yùn)行了偽裝的病毒可執(zhí)行文件，也不在系統(tǒng)中繼續(xù)感染傳播，也未自 動(dòng)加載病毒進(jìn)程，完全達(dá)到了免疫的目的。

4 結(jié)語(yǔ)

本文圍繞熊貓燒香病毒,首先充分了解其行為特征，分析其對(duì)進(jìn)程、注冊(cè)表、根目錄的修改動(dòng)作。在理解了該病毒的特征行為基礎(chǔ)上,給出了一般手工查殺病毒的流程以及專用于熊貓燒香病毒的手工查殺流程。通過這種方式，查殺者能對(duì)病毒查殺有更深的體會(huì)，且為編寫相關(guān)的病毒專殺工具，打下了堅(jiān)實(shí)的基礎(chǔ)。