前几天朋友打电话给我,说是电脑中毒了,杀毒软件无法打开,即使打开了也马上会被关闭,让我过去帮他看一下。我当时估计朋友的电脑是中了这段时间非常流行的AutoRun类型的病毒,于是心里有了底,而正好现在“瑞星杀毒软件2008”版处于公测阶段,杀毒软件免费提供给用户试用。嘿嘿,有免费的杀毒软件干吗不用,免费的午餐不是时时都有的。
再说现在“瑞星杀毒软件2008”版加入了很多新技术,帐号保险柜可以充分保护我们帐号的安全,特别是类似于SSM的HIPS主动防御技术,让系统的安全性得到了提高,普通用户也可以像专业病毒分析师一样,通过瑞星的主动防御技术来分析未知病毒的行为,从而更好的查杀未知病毒,杀毒软件也不再像以前那样可以被病毒轻而易举的干掉,在检测恶意行为方面也有了长足的进步,总的来说,“瑞星杀毒软件2008”版较以前的版本有了质的飞跃,是一款不可多得,家居必备的杀毒软件。有了它,拥有一个安全、稳定的系统将不再是梦想。好了,废话不多说,让我们看看瑞星在带毒环境下,全面查杀AutoRun病毒的过程吧!注:这次查杀完全依靠“瑞星杀毒软件2008”版本身,并没有利用SRE与冰刃工具帮忙。
到了朋友那,发现朋友电脑上装的是“瑞星杀毒软件2007”版,不过因为没有升级,病毒库太旧,已经无法认出现在最新的AutoRun病毒。而且瑞星的监控进程已经被病毒强行终止,小伞始终处于红色状态,尝试启动瑞星杀毒软件,提示加载失败。
呵呵,一看就知道是瑞星文件夹被写入了一个破坏瑞星程序的DLL文件,不过好在病毒没有进行影像劫持,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下并没有看到Rav.exe等软件的名字,同时病毒也没有修改显示隐藏文件的注册表键值,通过文件夹选项―――查看―――选择显示隐藏文件和文件夹选项,并且去掉隐藏受保护的操作系统文件前面的小勾,我们就可以看到每个盘符下都有几个病毒文件,如果显示隐藏文件的注册表键值被修改了,大家也可以通过WINRAR查看。
通过查看AutoRun.inf文件的指向,可以发现每次双击盘符,其实激活的是PegeFile.pif文件,Hide.exe与AutoRun.exe这两个病毒在与PegeFile.pif病毒的PK中都失败了,它们都没有抢到在每个盘符下率先建立AutoRun.inf文件的权限。哈哈,这就是以毒攻毒的效果吧。
大概了解情况后,就开始了杀毒工作,因为“瑞星杀毒软件2007”版已经过期,而且无法升级,所以立即卸载掉,而且卸载时选择了删除瑞星目录,这样顺便也把那个恶意DLL文件也删了。重新启动系统过后,立刻安装“瑞星杀毒软件2008”版,安装的时候我特意选择瑞星的安装位置,把它放在了E盘,以防止有些病毒对瑞星默认安装目录的破坏。在带毒环境下安装,所以选择了安装前扫描病毒,一下在内存中就查出了20个病毒,顺手干掉(图忘记截了:(),安装完成后重新启动,在BootScan那又杀掉了1个病毒,不过由于安装前扫描病毒与BootScan默认都不是全盘扫描,因此启动后病毒通过加载启动项企图再度激活自身,可惜没有能够成功,瑞星的主动防御开始运行了,阻止了病毒的加载,通过主动防御的日志我们可以看到病毒shaman.dll试图插入以下进程:
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\P2SSVC.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
因为瑞星进程自身具有保护功能,而且主动防御保护了以上进程,所以病毒的阴谋没能得逞。虽然病毒没能成功启动,不过由于它试图反复插入以上进程,造成explorer.exe等进程被瑞星锁死,系统无法进入到桌面。但是这个小问题却不影响我们继续查杀病毒,只要瑞星主程序还在运行即可。立刻点击瑞星进行全盘查杀,顺便看了下查杀速度与系统资源占用情况,总体说来还是不错的。没过多久病毒就扫描出来了,以下是病毒名:
Trojan.PSW.Win32.OnlineGames.xyp c:\windows\system32\mscomm.dll>>upack0.34
Trojan.PSW.Win32.ZhuXian.ar C:\WINDOWS\SYSTEM32\ZXIPRI.DLL
Trojan.PSW.Win32.OnlineGames.ycp C:\WINDOWS\SYSTEM32\SRJNFB63.DLL
Trojan.PSW.Win32.WoWar.vn c:\windows\system32\vdmvhnvbjp.dll>>upack0.34
Trojan.PSW.Win32.QQPass.tpu C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WINSYS64.SYS
Trojan.PSW.Win32.WorldOnline.kl C:\WINDOWS\SYSTEM32\WLHPRI.DLL
Trojan.PSW.Win32.OnlineGames.xyi C:\WINDOWS\SYSTEM32\WGGPRI.DLL
Trojan.PSW.Win32.XYOnline.gq C:\WINDOWS\SYSTEM32\MXBMAN.DLL
Trojan.PSW.Win32.SHOnline.a C:\WINDOWS\SYSTEM32\SHAMAN.DLL
Trojan.PSW.Win32.OnlineGames.xyf C:\WINDOWS\SYSTEM32\QJGPRI.DLL
Trojan.PSW.Win32.OnlineGames.xzx C:\WINDOWS\SYSTEM32\TLVPRI.DLL
Trojan.PSW.Win32.XYOnline.gs C:\WINDOWS\SYSTEM32\DHEPRI.DLL
Trojan.PSW.Win32.OnlineGames.xzv C:\WINDOWS\SYSTEM32\ZTAMAN.DLL
Trojan.PSW.Win32.OnlineGames.xzw C:\WINDOWS\SYSTEM32\JZIPRI.DLL
Trojan.PSW.Win32.OnlineGames.xxo c:\program files\netmeeting\ravdhmon.dat>>upack0.34
Trojan.PSW.Win32.OnlineGames.ycv C:\WINDOWS\SYSTEM32\DBGHLP32.DLL
Trojan.PSW.Win32.OnlineGames.xza C:\WINDOWS\SYSTEM32\NVDISPDRV.DLL
Trojan.PSW.Win32.AskTao.bn C:\WINDOWS\system32\wddpri.dll
Trojan.PSW.Win32.YBOnline.af C:\WINDOWS\system32\jhbpri.dll
Trojan.PSW.Win32.RocOnline.cl C:\WINDOWS\system32\myfpri.dll
Trojan.PSW.Win32.OnlineGames.ycv C:\WINDOWS\SYSTEM32\DBCMBY.DLL
Worm.Win32.Agent.img c:\program files\internet explorer\plugins\newtemp.dll>>upx_c
Trojan.IMMSG.Win32.TBMSG.ku C:\WINDOWS\system32\2FE70E5E.DLL
Trojan.PSW.Win32.OnlineGames.ycp C:\WINDOWS\SYSTEM32\SRJNFB63.DLL
Trojan.IMMSG.Win32.TBMSG.ku C:\WINDOWS\system32\2FE70E5E.DLL
Worm.Win32.Delf.ysv e:\hide.exe>>upack0.34
Trojan.PSW.Win32.QQPass.tpu e:\autorun.exe>>upx_c
Worm.Win32.Delf.ysv d:\hide.exe>>upack0.34
杀毒结束后,修复一下被病毒修改的系统设置,删除每个盘符所留下的AutoRun.inf文件,删除病毒所产生的启动项。至此,用“瑞星杀毒软件2008”版顺利把病毒清除干净了朋友的电脑又恢复了正常。
来源:
转载
