同事運(yùn)行了某個(gè)來歷不明的程序，招來了病毒的襲擾，但是其安裝的某款免費(fèi)殺軟對(duì)其卻無動(dòng)于衷。看來，該病毒有可能采用了免殺技術(shù)，突破該殺軟防線。同事向小李求助，小李雖然是個(gè)菜鳥，不過憑借手中的得力工具，很快摸清了病毒的特點(diǎn)并將其徹底清除。

　　1.明察秋毫，識(shí)破病毒的伎倆

　　同事向小李提供了帶毒軟件樣本，為了安全起見，小李決定在虛擬機(jī)中對(duì)其分析測(cè)試。在虛擬機(jī)中啟動(dòng)TotalUninstall這款工具，在其主界面工具欄依次點(diǎn)擊“已監(jiān)控程序”和“安裝”按鈕，點(diǎn)擊“下一步”按鈕，TotalUninstall開始拍攝系統(tǒng)當(dāng)前快照。之后在“程序名稱”欄中輸入目標(biāo)程序名稱，例如“病毒檢測(cè)”。選擇需要檢測(cè)的可疑程序。點(diǎn)擊“啟動(dòng)安裝程序”按鈕，激活該可疑程序?？梢钥吹剑摮绦騺碚卟簧?，并沒有像正常軟件一樣出現(xiàn)安裝界面，而是幾乎沒有任何反應(yīng)，其實(shí)該病毒程序已經(jīng)悄然運(yùn)行了。

　　之后點(diǎn)擊“程序已安裝”按鈕，TotalUninstall再次拍攝系統(tǒng)快照。在TotalUninstall主界面中的“已監(jiān)控”欄中選擇“病毒檢測(cè)”項(xiàng)，在窗口右側(cè)打開“文件系統(tǒng)”節(jié)點(diǎn)，看到該病毒在“C：Program FilesCommon FilesMicrosoft SharedMSInfo”文件夾中生成了一個(gè)記錄文件，一個(gè)病毒主文件。在“C：Windows”中創(chuàng)建了名為“reserver.exe”的程序，之后在“C：WindowSystem32”文件夾中生成了名為“_rejoince.exe”的隱藏文件。而且病毒很快就刪除了“C：Windows”中“reserver.exe”文件來隱蔽自身行蹤。在“注冊(cè)表”欄中看到該病毒將自身偽裝成了名為“系統(tǒng)媒體服務(wù)”的服務(wù)，并指向上述路徑中的病毒程序。小李讓同事打開電腦進(jìn)入安全模式，根據(jù)以上線索將病毒文件全部刪除，在注冊(cè)表編輯器中打開“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支，刪除其下的“Windows Media Service”子鍵，該病毒就徹底失去了活力。

　　2.深入分析，讓病毒木馬現(xiàn)原形

　　如果遇到難纏的病毒，小李會(huì)使用InstallWatch這款高級(jí)分析工具來應(yīng)對(duì)。前幾天小李的QQ好友給其傳了一個(gè)游戲修改器，為了安全起見，小李在虛擬機(jī)中啟動(dòng)InstallWatch，在其主界面工具欄上點(diǎn)擊“安裝”按鈕，在彈出向?qū)Т翱谥幸来吸c(diǎn)擊下一步按鈕，拍攝系統(tǒng)當(dāng)前快照。之后選擇該修改器程序，執(zhí)行該程序后，InstallWatch對(duì)系統(tǒng)再次拍攝快照。輸入本次檢測(cè)的項(xiàng)目名稱，完成檢測(cè)操作。

　　小李在WatchInstall主界面左側(cè)選擇本檢測(cè)項(xiàng)目的名稱，在窗口右側(cè)可以查看系統(tǒng)所有的變動(dòng)信息。可以看到，該程序新建了14個(gè)文件，刪除了2個(gè)文件，更改了18個(gè)文件，在注冊(cè)表新建了105個(gè)條目，刪除了4個(gè)條目，更新了49個(gè)條目等。在其中仔細(xì)檢測(cè)，發(fā)現(xiàn)該程序?qū)嶋H上是個(gè)木馬，其在“C：Program FilesInternet Explorer”文件夾下創(chuàng)建了名為“rundll_32.exe”的文件，注意，其處于隱藏狀態(tài)，無法直接觀察到。在“C：WindowsSystem32Winfile”文件夾中生成了“_rundll_32.exe”、“spupdsvc.exe”、“jdsthul.exe”、“4367390.exe”、“bdwin.exe”、“cec4e335.exe”、“npwmsdrm.exe”等眾多可疑文件。在注冊(cè)表分析項(xiàng)目中，發(fā)現(xiàn)該木馬創(chuàng)建了名為“Network Manger Agent”的系統(tǒng)服務(wù)，在其描述信息中顯示“網(wǎng)絡(luò)管理實(shí)用工具”字樣，起到迷惑用戶的目的。清除該木馬的方法很簡(jiǎn)單，先進(jìn)入安全模式，終止“Network Manager Agent”服務(wù)的運(yùn)行，然后使用IceSword，Wsyscheck等工具將木馬生成的上述可疑文件刪除，最后刪除木馬創(chuàng)建的假冒服務(wù)即可。

　　文/劉景云

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……