大家好!我接触病毒的时间已经比较久了,也曾经痴迷过一段时间,
典型优盘病毒tel.xls.exe分析与清除方法详解病毒防范
。长期游荡在绅博/剑盟/中天/龙族,抓样本分析,测试等等。
装过的杀软也接近百款了,现在虽然没有以前那么痴迷了,不过还是比较关注。
最近在铁军的博客上看到金山论坛有这样一个活动,也想小试一下牛刀,班门弄斧一下。
其实我的分析里面主要还是讲方法,希望大家也能掌握基本的病毒分析方法,
期望能和大家共同进步!谢谢!
今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早,之所以说它,
是因为它是一个比较典型的优盘病毒,而且变种比较难以消灭。
优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。
当然也有后期的以vb脚本引导的,那就更难处理了,而且往往打不开优盘,
可以用Win+R, 然后直接输入盘符名打开优盘。
tel.xls.exe作为一个优盘病毒,也不例外。
tel.xls.exe被感染后,会释放文件进入system32目录,同时会把自己复制到
每一个盘符中,监听本地端口,窃取主机信息并发送,其行为类似木马。
下面我来一步一步详细讲解:
1.首先当然是构建测试环境,真机测试比较危险,不推荐。
我用的是虚拟机,虚拟机优点是使用方便,而且不会影响实机。
就是先期配置烦一点,而且对机器配置要求比较高。
如果是配置差或者懒得去弄虚拟机,可以装个影子系统。
Windows下的虚拟机又分VMWare和Virtual PC两种,实现虚拟的原理不同,目的是一样的。
Virtual PC已经被微软收购,从07版开始只能在windows里虚拟windows,呵呵,垄断啊,
不过有个好处,VPC2007是免费的。
VMWare则可以在Windows下虚拟几乎所有操作系统,windows/dos/linux/freebsd等等。
不过是收费软件。
虚拟机装好之后,只要再安装一下软件自带的插件,就能与真机交换文件了。
非常好用。另外,虚拟机一般用桥接网络上网,非常好用。
我下面就以免费的VPC 2007来演示啦~
2.其次是抓样本,当然你优盘里面有现成的样本就更好了
有些论坛的样本区就有样本,上去下一个。
3. (这个病毒破坏力太强,之前的英文版系统的svchost.exe被破坏,无法开机,
不高兴修复了,直接改用新装的中文WinXP,所以这边会出现两个系统的截图)
下载后解
压,发现看不到文件,其实是因为病毒的文件属性是隐藏的系统文件。
必须进文件夹选项修改一下,把划红线的地方修改一下,
顺便把后缀也显示出来~
文件就可见了~
1.jpg(45.13 KB)
2008-10-22 15:05
4.接下来,可以把文件传到多引擎扫描网站上看看,
比如VirScan.org, 类似的网站还有Virus Total, Jotti's Malware Scan等。
一来可以“验明正身”,看看这个到底是不是病毒。
而来可以看看各个厂商的结果,如果没有报的话,还可以向厂商上报~
这边以“国产”的Virscan为例:
2.jpg(82.62 KB)
2008-10-22 15:05
毕竟是老病毒了,除了国外的冷门杀软,基本都报了。
这无所谓,我们主要看的是病毒分析方法和过程,呵呵。
5.为了分析病毒行为,可以放入沙盒(Sandbox) 测试。
网上就有一个不错的现成的沙盒(Norman Sandbox),可以对文件行为做分析。
只要上传文件,输入邮件地址,就能在邮箱收到报告。
3.jpg(41.66 KB)
2008-10-22 15:05
当然,这个沙盒的特点是现成的,操作简单速度快,不过结果也比较简单。
真正要观察病毒的实际行为,可以在虚拟机里面用RegMon, FileMon,autorun, TCP/IP等来看。
这些软件都是Sysinternal的,去年被微软收购了~ 当然,也可以用单机版的Sandbox来看,就是这个软件比较贵。
6. 不一会,就收到了分析的邮件:
4.jpg(36.93 KB)
2008-10-22 15:05
释放的文件,进程、注册表修改、MD5等参数全部一次性拿到,方便啊~
其实,对于一般用户来说,用一些好用的工具,例如金山清理专家或SREng同样能发现端倪:
使用清理专家扫描,发现可疑启动项:
5.jpg(46.13 KB)
2008-10-22 15:05
全面扫描,发现更多可疑项:
6.jpg(48.27 KB)
2008-10-22 15:05
扫描恶意软件,发现autorun.inf
7.jpg(45.97 KB)
2008-10-22 15:05
再使用SREng扫描:
8.jpg(43.06 KB)
2008-10-22 15:05
附上SReng扫描报告,
报告中的下列项目就是病毒生成的:
引用:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
进程
[PID: 3864 / SYSTEM][C:\WINDOWS\system32\mmc.exe][N/A, ]
服务
[Smart Card Supervisor / mmc][Running/Manual Start]
<2 - 系统找不到指定的文件。
><(File is missing)>
Autorun.inf
[C:\]
[AutoRun]
pen=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto7.和沙盒的分析结果比对,多出一个叫 kill 的任务。如下图:
9.jpg(32.13 KB)
2008-10-22 15:10
多出一个mmc.exe进程,与沙盒分析结果吻合~
10.jpg(42.42 KB)
2008-10-22 15:10
8. 使用类似IceSword的工具结束进程,
电脑资料
《典型优盘病毒tel.xls.exe分析与清除方法详解病毒防范》()。IceSword是中科大的pjf写的,由于使用了Windows核心的API,可以直接看到隐藏文件和进程,
个人认为IceSword在处理两个进程互为保护的病毒时特别有效。可以同时结束两个进程。
或锁住一个进程,不让其再生。这招对付进程互为保护的病毒非常不错。
11.jpg(54.37 KB)
2008-10-22 15:10
9. 进程对应的文件,与沙盒分析吻合,删除之~
12.jpg(53.16 KB)
2008-10-22 15:10
生成的另两个文件,删除之~
13.jpg(53.81 KB)
2008-10-22 15:10
10.Win+R, msconfig,删除增加的启动项。
14.jpg(38 KB)
2008-10-22 15:10
11. mmc在监听本地3000端口。一旦联网,就会对外发送信息。
15.jpg(24.56 KB)
2008-10-22 15:10
12. 最后,用金山毒霸全盘扫描一下,“打扫”一下战场吧~
因为生成的文件比较多,手工删的话也可以,先搜索文件再删除,
不过用毒霸又快又方便!
监控一开,立马开始删除~
16.jpg(41.24 KB)
2008-10-22 15:10
呵呵 已经感染exe了,扫描记录如下:
17.jpg(73.73 KB)
2008-10-22 15:10
svchost.exe受损,症状为再开机无法进入系统。进度条一直在走,
18.jpg(18.18 KB)
2008-10-22 15:10
插入光盘修复或进入Windows故障修复台,拷贝光盘原文件至硬盘修复即可~
19.jpg(42.1 KB)
2008-10-22 15:10
最后,附:VBS一次性清除代码:
引用:
on error resume nextset w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='algsrv.exe' or name='SocksA.exe'")
for each i in p
i.terminate
next
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
dim d(5)
dim v(5)
d(0)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\SocksA.exe")
d(1)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\FileKan.exe")
d(2)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\algsrv.exe")
d(3)=del.ExpandEnvironmentStrings("%SystemRoot%\Session.exe")
d(4)=del.ExpandEnvironmentStrings("%SystemRoot%\BACKINF.TAB")
for i=0 to 1
set v(i)=fso.getfile(d(i))
v(i).attributes=0
v(i).delete
next
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\tel.xls.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\AUTORUN.INF")
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue",1,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv"
set fso=nothing
msgbox "病毒清除成功,请重启电脑!",64,"tel.xls.exe病毒专杀"
全文完~