因为我有两套XP系统,其中一套作为娱乐和家人用,另一套我专用来编程。所以刚好有条件 用第二套系统做了一次病毒试验和分析。 因为时间有限,分析了一段时间的代码,又实在受不了该美女头像的诱惑,就干脆在 FILEMON和REGMON两工具的监视下直接运行了该文件。出现了一个明显欺骗性的对话框。程 序错误,已经存入系统日志云云。
之后果然出现了若干病毒症状,遂分析filemon和regmon日志,两日志合计28m,观察 filemon日志,很明显的看到了病毒文件进行了哪些文件操作,REGMON中病毒作的注册表修改 除了RUN项之外没有特别的。 跟踪过程和结果:运行染毒文件后,会在c:\Documents and Settings\当前用户\Local Settings\Temp中释放并转移控制权给first.exe,由它释放其它病毒文件:两个5随机字母 为名的exe文件到system32文件夹,在c:\windows和c:\windows\system32各释放同名的DLL 文件,以上文件皆为隐藏。此外,病毒会试图修改 regedit.exe/taskmgr.exe/explorer.exe/(可能还有programfiles文件夹下的mdm.exe) /notepad.exe,但似乎由于有系统文件的保护功能,前三者的修改并不奏效,(我的xp安装盘 一直放在光驱中,并发现有启动现象,估计系统马上对前三者进行了还原),只有 c:\windows\system32\notepad.exe被修改成功并扮演病毒最后一道自我防线的作用,而不 同于以往普通QQ病毒只修改TXT关联。以上所有相关文件,都可以在c:\windows\prefetch文 件夹内找到有关的.pf文件的痕迹。这也是病毒编写的疏漏。 用HIJACKTHIS生成.LOG日志,会运行notepad,恰恰成了激活病毒的一个罪魁。而 NOTEPAD.EXE的IMPORT表中被加入了被释放的DLL文件,就是该被嵌入的DLL文件实行了病毒 文件再次生成步骤。
总结的处理方法为:
在安全模式下,打开文件夹选项中的隐藏系统文件的显示和显示所有文件和文件夹的设 置,删除病毒释放的EXE/DLL文件,用干净的以上5个系统EXE文件对可能被病毒修改的文件 进行覆盖,包括windows和system32两个文件夹内都覆盖一下,重点是 system32\notepad.exe 建议插入XP安装盘,运行sfc /scannow进行系统文件的自动修复,但notepad.exe可能 还需要另外找干净版本。你有一个winpe启动盘应该更方便。 清空c:\windows\prefetch,c:\Documents and Settings\当前用户\Local Settings\Temp.删除c:\windows\system32\dllcache下的可能被修改的4个系统文件。
最乐观情况下的最简单和lata的处理办法:任务管理器中结束病毒进程;右击 c:\windows,搜索该病毒进程对应的文件删除,当然要确保打开搜索高级选项中的搜索隐藏 和系统文件开关;把windows文件夹下的notepad.exe覆盖到windows\system32.
|