典型优盘病毒tel.xls.exe分析与清除方法详解病毒防范 -电脑资料

时间:2014-02-08 02:17:49
染雾
分享
WORD下载 PDF下载 投诉

大家好!我接触病毒的时间已经比较久了,也曾经痴迷过一段时间,

典型优盘病毒tel.xls.exe分析与清除方法详解病毒防范

长期游荡在绅博/剑盟/中天/龙族,抓样本分析,测试等等。

装过的杀软也接近百款了,现在虽然没有以前那么痴迷了,不过还是比较关注。

最近在铁军的博客上看到金山论坛有这样一个活动,也想小试一下牛刀,班门弄斧一下。

其实我的分析里面主要还是讲方法,希望大家也能掌握基本的病毒分析方法,

期望能和大家共同进步!谢谢!

今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早,之所以说它,

是因为它是一个比较典型的优盘病毒,而且变种比较难以消灭。

优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。

当然也有后期的以vb脚本引导的,那就更难处理了,而且往往打不开优盘,

可以用Win+R, 然后直接输入盘符名打开优盘。

tel.xls.exe作为一个优盘病毒,也不例外。

tel.xls.exe被感染后,会释放文件进入system32目录,同时会把自己复制到

每一个盘符中,监听本地端口,窃取主机信息并发送,其行为类似木马。

下面我来一步一步详细讲解:

1.首先当然是构建测试环境,真机测试比较危险,不推荐。

我用的是虚拟机,虚拟机优点是使用方便,而且不会影响实机。

就是先期配置烦一点,而且对机器配置要求比较高。

如果是配置差或者懒得去弄虚拟机,可以装个影子系统。

Windows下的虚拟机又分VMWare和Virtual PC两种,实现虚拟的原理不同,目的是一样的。

Virtual PC已经被微软收购,从07版开始只能在windows里虚拟windows,呵呵,垄断啊,

不过有个好处,VPC2007是免费的。

VMWare则可以在Windows下虚拟几乎所有操作系统,windows/dos/linux/freebsd等等。

不过是收费软件。

虚拟机装好之后,只要再安装一下软件自带的插件,就能与真机交换文件了。

非常好用。另外,虚拟机一般用桥接网络上网,非常好用。

我下面就以免费的VPC 2007来演示啦~

2.其次是抓样本,当然你优盘里面有现成的样本就更好了

有些论坛的样本区就有样本,上去下一个。

3. (这个病毒破坏力太强,之前的英文版系统的svchost.exe被破坏,无法开机,

不高兴修复了,直接改用新装的中文WinXP,所以这边会出现两个系统的截图)

下载后解

压,发现看不到文件,

其实是因为病毒的文件属性是隐藏的系统文件。

必须进文件夹选项修改一下,把划红线的地方修改一下,

顺便把后缀也显示出来~

文件就可见了~

1.jpg(45.13 KB)

2008-10-22 15:05

4.接下来,可以把文件传到多引擎扫描网站上看看,

比如VirScan.org, 类似的网站还有Virus Total, Jotti's Malware Scan等。

一来可以“验明正身”,看看这个到底是不是病毒。

而来可以看看各个厂商的结果,如果没有报的话,还可以向厂商上报~

这边以“国产”的Virscan为例:

2.jpg(82.62 KB)

2008-10-22 15:05

毕竟是老病毒了,除了国外的冷门杀软,基本都报了。

这无所谓,我们主要看的是病毒分析方法和过程,呵呵。

5.为了分析病毒行为,可以放入沙盒(Sandbox) 测试。

网上就有一个不错的现成的沙盒(Norman Sandbox),可以对文件行为做分析。

只要上传文件,输入邮件地址,就能在邮箱收到报告。

3.jpg(41.66 KB)

2008-10-22 15:05

当然,这个沙盒的特点是现成的,操作简单速度快,不过结果也比较简单。

真正要观察病毒的实际行为,可以在虚拟机里面用RegMon, FileMon,autorun, TCP/IP等来看。

这些软件都是Sysinternal的,去年被微软收购了~ 当然,也可以用单机版的Sandbox来看,就是这个软件比较贵。

6. 不一会,就收到了分析的邮件:

4.jpg(36.93 KB)

2008-10-22 15:05

释放的文件,进程、注册表修改、MD5等参数全部一次性拿到,方便啊~

其实,对于一般用户来说,用一些好用的工具,例如金山清理专家或SREng同样能发现端倪:

使用清理专家扫描,发现可疑启动项:

5.jpg(46.13 KB)

2008-10-22 15:05

全面扫描,发现更多可疑项:

6.jpg(48.27 KB)

2008-10-22 15:05

扫描恶意软件,发现autorun.inf

7.jpg(45.97 KB)

2008-10-22 15:05

再使用SREng扫描:

8.jpg(43.06 KB)

2008-10-22 15:05

附上SReng扫描报告,

报告中的下列项目就是病毒生成的:

引用:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

进程

[PID: 3864 / SYSTEM][C:\WINDOWS\system32\mmc.exe][N/A, ]

服务

[Smart Card Supervisor / mmc][Running/Manual Start]

<2 - 系统找不到指定的文件。

><(File is missing)>

Autorun.inf

[C:\]

[AutoRun]

pen=tel.xls.exe

shellexecute=tel.xls.exe

shell\Auto\command=tel.xls.exe

shell=Auto7.和沙盒的分析结果比对,多出一个叫 kill 的任务。如下图:

9.jpg(32.13 KB)

2008-10-22 15:10

多出一个mmc.exe进程,与沙盒分析结果吻合~

10.jpg(42.42 KB)

2008-10-22 15:10

8. 使用类似IceSword的工具结束进程,

电脑资料

《典型优盘病毒tel.xls.exe分析与清除方法详解病毒防范》()。

IceSword是中科大的pjf写的,由于使用了Windows核心的API,可以直接看到隐藏文件和进程,

个人认为IceSword在处理两个进程互为保护的病毒时特别有效。可以同时结束两个进程。

或锁住一个进程,不让其再生。这招对付进程互为保护的病毒非常不错。

11.jpg(54.37 KB)

2008-10-22 15:10

9. 进程对应的文件,与沙盒分析吻合,删除之~

12.jpg(53.16 KB)

2008-10-22 15:10

生成的另两个文件,删除之~

13.jpg(53.81 KB)

2008-10-22 15:10

10.Win+R, msconfig,删除增加的启动项。

14.jpg(38 KB)

2008-10-22 15:10

11. mmc在监听本地3000端口。一旦联网,就会对外发送信息。

15.jpg(24.56 KB)

2008-10-22 15:10

12. 最后,用金山毒霸全盘扫描一下,“打扫”一下战场吧~

因为生成的文件比较多,手工删的话也可以,先搜索文件再删除,

不过用毒霸又快又方便!

监控一开,立马开始删除~

16.jpg(41.24 KB)

2008-10-22 15:10

呵呵 已经感染exe了,扫描记录如下:

17.jpg(73.73 KB)

2008-10-22 15:10

svchost.exe受损,症状为再开机无法进入系统。进度条一直在走,

18.jpg(18.18 KB)

2008-10-22 15:10

插入光盘修复或进入Windows故障修复台,拷贝光盘原文件至硬盘修复即可~

19.jpg(42.1 KB)

2008-10-22 15:10

最后,附:VBS一次性清除代码:

引用:
on error resume next

set w=getobject("winmgmts:")

set p=w.execquery("select * from win32_process where name='algsrv.exe' or name='SocksA.exe'")

for each i in p

i.terminate

next

set fso=createobject("scripting.filesystemobject")

set del=wscript.createobject("wscript.shell")

dim d(5)

dim v(5)

d(0)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\SocksA.exe")

d(1)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\FileKan.exe")

d(2)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\algsrv.exe")

d(3)=del.ExpandEnvironmentStrings("%SystemRoot%\Session.exe")

d(4)=del.ExpandEnvironmentStrings("%SystemRoot%\BACKINF.TAB")

for i=0 to 1

set v(i)=fso.getfile(d(i))

v(i).attributes=0

v(i).delete

next

set fso=createobject("scripting.filesystemobject")

set drvs=fso.drives

for each drv in drvs

if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then

set w=fso.getfile(drv.driveletter&":\tel.xls.exe")

w.attributes=0

w.delete

set u=fso.getfile(drv.driveletter&":\AUTORUN.INF")

u.attributes=0

u.delete

end if

next

set reg=wscript.createobject("wscript.shell")

reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue",1,"REG_DWORD"

reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue",2,"REG_DWORD"

reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue",2,"REG_DWORD"

reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue",2,"REG_DWORD"

reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"

reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"

reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv"

set fso=nothing

msgbox "病毒清除成功,请重启电脑!",64,"tel.xls.exe病毒专杀"

全文完~

Top