desktop.ini是一种特殊的、用来自定义文件夹相关信息的配置文件,默认情况下由系统创建,存在于文件夹下,并具有系统、隐藏属性,
伪装成desktop.ini的脚本病毒分析及手动处理方法病毒防范
。本篇文章演示的这个病毒实际上一个vbs脚本病毒,该病毒运行后会在系统磁盘根目录下创建desktop.ini及autorun.inf两个病毒文件。该脚本病毒通过desktop.ini文件名来伪装自己,使得人们误以为它是正常的系统文件,从而达到了隐藏自身的目的。病毒样本基本信息
下面我们就来看一下这个伪装成desktop.ini的脚本病毒,首先还是先来病毒样本的基本信息,如图1所示。
File: desktop.ini
Size: 12kb
MD5: 02F638045780A73AEB90F4B04BC4DE05
瑞星v16报毒名称: Worm.Script.VBS.Agent.bz
图1:病毒样本信息
瑞星v16杀毒软件报毒截图,如图2所示。
图2:瑞星v16杀毒软件查杀截图
接下来我们看一下这个desktop.ini的具体内容都有什么,如图3所示。从图3来看,无法准确的判断出这是一个脚本文件,其内容只是一堆看不懂的英文字符,其实我们可以从瑞星v16的报的病毒名Worm.Script.VBS.Agent.bz就可以看出,在病毒名中有个Script.VBS,很明显这是一个脚本病毒。我们知道Worm代表是蠕虫,Script代表的是脚本,VBS代表的是病毒代码是使用VBS脚本来编写的。为进一步证明这是一个脚本病毒,我们来看一下autorun.inf这个文件的具体内容是什么,如图4所示。
图3:desktop.ini的具体内容
图4:autorun.inf的具体内容
请注意图4中标红的部分, WScript.exe是系统正常脚本宿主程序,系统在执行一些脚本程序时,如vbs或js脚本等,都会调用WScript.exe来进行执行脚本程序。我们来看一下WScript.exe在命令行下的帮助信息,如图5、6所示。
图5:在运行里敲入wscript. /?用来查看WScript.exe的用法
图6:WScript.exe命令行用法
结合图4来看,WScript.exe //e:后面给出的脚本引擎为VBScript,从这点也可以看出desktop.ini就是一个VBS脚本病毒,destop.ini要执行时需要VBScript引擎才可以执行。接下来我们就详细看一下这个VBS脚本病毒都有哪些病毒行为。
病毒行为
我们将desktop.ini及autorun.inf拷贝到磁盘根目录下(本例为c盘),便于我们通过命令行来执行这个VBS脚本病毒样本,如图7所示。
图7:将脚本病毒拷贝到c盘根目录下
这次我们使用RegFsNotify.exe这个小工具来进行分析,这个小工具可以监控程序对系统所作的修改,如创建文件或修改系统注册表等。RegFsNotify.exe直接使用命令行运行即可,在监控的同时,会将所有日志都保存到当前工作目录中的RegFsNotify.txt文件中,RegFsNotify.exe输出的日志每一行都以[ADD]、[REMOVED]或[MODIFIED]字符串作为开始,用以指示所发生的活动类型。同样,我们将RegFsNotify.exe拷贝到磁盘根目录下,如图8所示。
图8:将RegFsNotify.exe拷贝到C盘根目录下
我们可以开启两个命令行窗口,一个用来运行VBS脚本病毒样本,另一个用来运行RegFsNotify.exe监视脚本病毒的行为,如图9、10所示。
图9:在命令行运行RegFsNotify.exe工具
图10:在另一个命令行窗口运行VBS脚本病毒
接下来我们先运行图9的RegFsNotify.exe直接回车即可,RegFsNotify.exe运行如图11所示。
图11:命令行窗口运行RegFsNotify.exe工具
将RegFsNotify.exe工具运行起来之后,我们来运行图10的VBS脚本病毒,同样也是回车即可,如图12所示。
图12:运行VBS脚本病毒
从图12来看,命令行窗口运行VBS脚本病毒后,直接返回到c盘根目录下,什么提示都没有,我们来看一下RegFsNotify.exe命令行窗口都捕捉到了什么,如图13所示。
图13:RegFsNotify.exe捕捉到脚本病毒运行情况
从图13来看,RegFsNotify.exe工具通过绿色和白色来标记出程序对系统的创建和修改,这样就很容易将二者区分出来。以图13红框中为例,我们看出病毒在c:\Windows\Installer目录下创建了autorun.inf及desktop.ini文件,同时还创建了一个Microsoft的lnk快捷方式文件。这个就是VBS脚本病毒行为之一,当然肯定还有其他的行为,我们后面慢慢的来分析。接下来,我们可以等一会儿再退出RegFsNotify.exe工具,这样做的目的是让病毒完全能运行起来,让RegFsNotify.exe工具捕捉到完整的病毒行为。如图14所示,RegFsNotify.exe工具后面监控的都是系统一些行为,基本上可以判断出病毒已经运行完毕,这时可以通过关闭按钮退出RegFsNotify.exe工具。
图14:病毒样本执行完毕
退出RegFsNotify.exe工具后,我们查看一下在c盘根目录下生成的RegFsNotify.txt日志文件,如图15所示。
图15:RegFsNotify.exe工具生成的监控日志
直接打开RegFsNotify.txt查看监控到的日志内容,如图16所示,使用默认的记事本查看日志时很凌乱不太好分析。我们可以安装一个Notepad++工具,使用Notepad++来查看日志,如图17所示。
图16:记事本查看RegFsNotify.txt日志
图17:使用Notepad++查看RegFsNotify.txt日志
通过图16与图17的对比,使用Notepad++查看监控日志很清晰明了。如图17的红框内容所示,VBS脚本病毒执行第一步就是在C:\WINDOWS\system32目录下创建了rad6c437.tmp文件,我们在C:\WINDOWS\system32目录下查找一下这个文件,来验证一下RegFsNotify.txt日志内容,如图18所示,在C:\WINDOWS\system32目录下的确有一个rad6c437.tmp文件。
图18:脚本病毒在C:\WINDOWS\system32目录下创建了rad6c437.tmp文件
这个tmp文件是做什么用的呢?我们使用notepad++直接打开rad6c437.tmp文件,如图19所示,通过与图3来对比分析,推测出这个rad6c437.tmp文件应该是病毒创建的一个解密desktop.ini后的脚本。因图3所示的desktop.ini和图19的rad6c437.tmp开头都有:
'http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&ar=runonce&pver={SUB_PVER}&plcid={SUB_CLSID},只不过desktop.ini在上述这段内容之后都是一些乱码,我们无法看懂其内容,rad6c437.tmp中的上述这段内容明显是一个清晰明了的脚本代码。为了印证我们的猜测,我们来继续查看rad6c437.tmp后面的内容。
图19:使用notepad++打开rad6c437.tmp文件内容
我们在rad6c437.tmp中找到了图4的autorun.inf中的desktop.ini执行的命令行,如图20所示。
图20:autorun.inf中的desktop.ini执行的命令行
结合图19的开头内容,我们基本可以断定rad6c437.tmp就是desktop.ini脚本解密后的VBS脚本。有了这个解密后的VBS脚本,我们就可以轻松分析出这个VBS脚本病毒都有哪些病毒行为。其实,我们还可以结合RegFsNotify.txt日志来进行印证分析。
如图21所示,该VBS脚本病毒会创建同文件夹名相同的lnk(快捷方式),使其快捷方式的执行目标为wscript.exe //e:VBScript. dekstop.ini,
电脑资料
《伪装成desktop.ini的脚本病毒分析及手动处理方法病毒防范》()。
图21:创建1kb快捷方式指向wscript.exe //e:VBScript. dekstop.ini
如图22所示,该VBS脚本病毒还会在C:\windows\system32目录下创建一个v.doc的文档,其内容如图22-1所示。
图22:创建v.doc,将adv内容写入v.doc中
图22-1:v.doc的内容
如图23所示,该VBS脚本病毒对系统注册表进行了修改,会删除快捷方式图标中的箭头,使创建的快捷方式让人误以为是正常的文件夹。
图23:删除快捷方式图标箭头
如图23-1红框中所示,我们看到c盘根目录下有两个同名的文件夹,实际上我们通过后面文件类型可以清楚地看到这两个文件夹不属于同一文件类型,一个是文件夹,而另一个是快捷方式。
图23-1:删除快捷方式的箭头图标同系统文件夹图标相同,极具迷惑性
我们继续查看rad6c437.tmp后面的内容,如图24所示,该VBS脚本病毒还会修改ie主页为http://www.bendot.co.nr,如图24-1所示。
图24:注册表修改ie主页为http://www.bendot.co.nr
图24-1:ie主页被修改
如图25所示,该VBS脚本病毒写入了注册表启动项,使其达到开机或重启电脑后自动运行的目的。
图25:VBS脚本病毒写入的启动项
如图26所示,该VBS脚本病毒还修改了注册表键值,禁用了系统注册表编辑器和任务管理器,这也是病毒惯用手法。
图26:禁用系统注册表编辑器和任务管理器
如图26-1和26-2所示,系统的任务管理器和注册表编辑器无法使用。
图26-1:任务管理器为灰色无法使用
图26-2:运行注册表编辑器提示被管理员禁用
如图27所示,这个病毒还会修改系统文件夹选项,把隐藏文件受保护的操作系统文件(推荐)的警告信息改为“fandy love yuyun”,同时也禁用了该功能,这样做的目的其实是使我们无法查看到写入磁盘根目录下的desktop.ini和autorun.inf这两个文件,如图27-1所示。
图27:禁用隐藏
文件受保护的操作系统文件功能
图27-1:修改隐藏文件受保护的操作系统文件警告信息为“fandy love yuyun”
如图28所示,该VBS脚本病毒还会判断c盘是否为NTFS格式,如是,会在HKLM写入启动项WinUpdate,其内容为执行Wscript.exe //e:VBScript. "C:\WINDOWS\:Microsoft Office Update for Windows XP.sys"。
图28:写入winUpdate启动项
C:\WINDOWS\:Microsoft Office Update for Windows XP.sys这个到底是什么,我们直接在运行里执行一下就知道了。如图28-1、28-2所示,原来是一个Microsoft.lnk快捷方式。
图28-1:运行打开C:\WINDOWS\Microsoft Office Update for Windows XP.sys
图28-2:windows弹出不能打开此文件Microsoft.lnk
而Microsoft.lnk执行内容为如图28-3所示,绕来绕去还是执行那个desktop.ini脚本病毒。
图28-3:Microsoft.lnk执行desktop.ini脚本病毒
以上为desktop.ini这个VBS脚本病毒释放的解密后的rad6c437.tmp脚本病毒的主要行为分析。下面简单再看一下RegFsNotify.txt日志,如图29所示,RegFsNotify.exe捕捉到该VBS脚本病毒在系统文件夹下创建了同文件夹名相同的lnk文件及desktop.ini和autorun.inf文件,我们可以结合之前的图15及图28-3来进行查看。从图15可以看到病毒写入的lnk文件,而图28-3显示的是lnk文件指向的目标都是来执行desktop.ini这个VBS脚本病毒。这给病毒清理带来一定的难度,如果我们不能完全清理干净这些病毒文件,稍有不慎就又有将病毒触发执行。下面我们将讲解如何来处理这个VBS脚本病毒。
图29:RegFsNotify日志捕捉到该病毒创建大量lnk及desktop.ini和autorun.inf病毒文件
病毒处理
运行xuetr工具查看进程列表里有wscript.exe,如图30所示。注意:wscript.exe是正常的系统程序,因脚本病毒运行需要调用该程序去执行脚本,所以在处理这个进程时,我们只需要结束这个进程即可。千万不能结束进程并删除文件,这样就会将正常系统文件被删除,如图31所示,
图30:xuetr进程列表里的wscript.exe
图31:点击右键结束进程
接下来再查看一下启动项,如图32所示,在处理启动项时,我们只需要删除启动项信息即可,如图33所示。
图32:VBS脚本病毒写入的启动项
图33:右击启动项名称点删除(启动项信息)
接下来的操作就教给瑞星v16杀毒软件即可,此类病毒直接用杀毒软件来处理即可。如图34所示,使用瑞星v16进行全盘查杀出的病毒文件。
图34:瑞星v16查杀出的脚本病毒
将desktop.ini及autorun.inf使用杀毒软件查杀后,剩下的lnk快捷方式实际上也就废了,我们可以通过系统自带的搜索来处理一下这些lnk文件,指定搜索条件,如图35所示,搜索出全部lnk文件将其删除即可。
图35:搜索出的病毒创建1kb快捷方式
接下来我们使用瑞星安全助手来修复一下注册表编辑器及任务管理和lnk的箭头图标,如图36所示,瑞星安全助手扫描出的异常。
图36:瑞星安全助手扫描出的异常
如图37、38所示,使用瑞星安全助手修复后的注册表编辑器和任务管理器恢复正常。
图37:系统注册表编辑器可以正常打开
图38:任务管理器恢复正常
打开系统注册表编辑器,我们来手动修复一下被修改的隐藏文件受保护的操作系统文件,如图39所示。
图39:病毒修改的SuperHidden提示信息
注册表所在的路径及修改方法如图40所示,其值参考的是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden的WarningIfNotDefault值,这两个键值应该是一样的,修复效果如图41所示。
图40:恢复SuperHidden提示信息
图41:SuperHidden提示信息恢复正常
注意,病毒还修改了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden的UncheckedValue值为0,默认此值为1,我们修改一下为默认值1即可,这样就完全修复了SuperHidden。
最后,我们用瑞星安全助手的锁定功能,锁定一下主页,如图42所示。
图42:使用瑞星安全助手ie保护锁定主页
主页锁定效果如图43所示。
图43:锁定ie主页为hao.rising.cn