《黑客×档案》2007年第8期摘录:
-
如发现有乱码,
请直接从这里浏览原文
正文摘录:
毒文件,并且启动这个保护机制。使病毒在系统内正常运行。若系统和互联网有连接,这个进程还会隔一段时间下载一个木马,木马下载齐全需要一定时间,这样可以避开那些细心的观察者(图5)。下载的木马基本都是DLL嵌入类型的木马,它们运行后删除自身,并在C:\windows下建立自身exe文件,还会在C:\windows\system32\下建立同名的dl1文件。当病毒完全进入系统,只有在winlogon里面嵌入一个随机8位16进制数字作为文件名的DLL文件,还有一堆木马,隐蔽性不是很好,但是保护性却很好,如果不是很好的研究保护机制,在windows下很难手工删除。此病毒的保护机制主要是通过服务,往winlogon.exe文件里面注入一个dll线程,通过此线程来对所有根目录下建立的autorun.inf和rising.exe进行保护,并且对自身服务启动项进行保护,这个保护内容是每隔一定时间就会重新建立这两个文件,并使它们带有隐藏、系统等属性,而且使病毒启动服务项目改为自启动,从而达到茔陴∞nlI@~曩潭啦麟∞精∞瘩}彘社臣0Iv甲蠲”盛孽k---器…一.譬。一一曲怕:]_l吐一…B2BL0cI、……f鞴‘目]tllB2Bql,EⅡI盯0捌^Ⅱ嚆、nt~i=ff‘g]…B28堋Ⅸx、…Ⅲi=ff∞.计。]TI正一“·略B删向褂m吁ⅦⅢs、I”t“Ul^∞Ⅸm∞=]tld…·-·e髓quEⅡⅦ口口)-s、fnt_艘、5∞葛lF^Ensg∞‘=tld。‘m…B2Bq∞Ⅻ,。ⅡI“Ⅶm”、,nt_∞、∞m1,^Ⅲs950]fld㈣…qⅡHIⅡ0^nq、¨mm、‘玎t“、∞∞5lrkm5g驰]_d一…旺日日幔斟I肿蹦^nO、frlⅡ0ts、…&、B日D*l『^m朝j]-“·。62Bm哺I肝0蹦盯10H、risine-wld州“·qI口“硼IH^Ⅱ0H、盯ID0ms、‘vn·_艟、8卸日5lP^ⅡI二jwdo‘oh…B∞眦、…rⅡinf辨。==]_ldo‘∞·#·8∞日l删HⅡmH^ⅡOI、…fni“∞3tld。m—B∞vⅡK、Ⅱ¨r恤inf59=],ln……62BLOcK\tuto~in~5q5目:j-l丑1一“·.6拍q理H翻如确ⅡI汀、…~,Ⅱf5g∞=]-Id—q·.B28ⅦiDB、“…lnf∞5g:3do‘%u·B2日Lm、“t…lⅡf∞-5g,q·B28日l皿1、Ⅱt…inf∞3_ld㈣“·628lJⅢ∞x、…inf∞∞=]_InoE仰一q怔Ⅱ珊。矗盯10*ⅦD咖、Iyn·-02、BBⅡ艏1FAⅡzfI虹口0m“6端口,0确删H、"xⅪ6、,¨“艘、68D砗lr^吐!轴]fld删‘B2Bql衄Ⅱ~syst_弛、6锄蛞l,^HE=3fI吐。‘吼…啪qlⅢ"I"0髓^Ⅱ嘣h…si-z595日—3do‘哺“·gt脏HI啪Bt盯10W、札D口"、s¨tn女、6BD昨l,^nE∞5g=“·6柚L0江、ut—In±∞5g=-,d·‘々n…6∞m嘞mI盯0Rn^nOH、“…In±∞59:3_·吐。‘雌H·ⅥnD暖、-ut…inf=]…d28L叱I、“t…I】d轴∞:]-1do‘·^“·B∞q哪l、¨…lnf。:]’Ino‘口n一82BⅧIDcz、Iut—in~明。:3fl正o‘on“e8∞m、……f聃50二]tln一一B黯quE射、·q…1nf5g5目=]tld…·ⅧlDⅡ、…runin~50=-ld…·I·口t哪I瑚0|盯10*、nHD口B、#v~女、68ⅢlnⅡ|5口::d……q{I£ⅡIn0ⅫⅡⅫ、"硼0髂、,,~弛、88砷5lF^ⅡE∞59=j-I“一…5∞ⅫⅢI"0Ⅱ∞H、ⅢE、Hlt¨32、BBD*l,^!Ⅱ┗┻┻┛保护病毒进程不能彻底被删除的作用(图6)。除了这个winlogon的线程保护以外,此病毒还使用了一些常见的病毒保护措施,比如隐藏进程的保护,使得用户找不到病毒进程,并且在c、D、E三个盘的根目录中,都建立了隐藏的autorun.inf和rising.exe文件,通过传统的autorun.inf文件对病毒进行保护。兰、病毒删除分析完了病毒的保护机制和病毒运行原理后,我们就可以轻松的删除病毒了,这个病毒可以在安全模式下删除,也可以在正常模式下删除。我使用了第二种方法,因为它比较有挑战性,也方便。第一步,针对这个wleIogon.exe的注入线程保护,我做7如下处理,在任意地点(我选择桌面)建立一个以autorufl.jnf命名的文件夹,并且选择复制(c”l+C),撩后删除C盘根目录下的&utorun.jnf文件,并快速选择粘贴(Ctrl+V),重复刚才的事情,把D、E盘的~utoruninf同样使用以~utorun.inf命名的文件夹替代。这时目为文件保护,C、D、E盘我们所建立的autorue.1nf文件央会自动增加隐藏、只读等属性。同时按照刚才的步骤,对每一个ris】ng.exe文件进行同样的处理,以ri8ingexe文件夹进行同样的替换。这样,就可以防止因为winlogon.exe的注八线程保护,病毒死友复燃。第:步,打开冰刃(1ceSword),点菜单栏中文件下面的“设置”,打开设置对话框,选中“禁止进线程创建”,这是为T防止结束进程后,病毒再次创建进程进行保护。第三步,利用冰刃(IceSword)删除所有病毒添加图6的文件.注册表项目,禁用病毒创建的服务。这样藕毒在硬盘中的痕迹就已经清除,利用计算机的冷启动。重新启动计算机(如果没有冷启动或者不愿使用。可以在冰刃中点击幕单栏中文件下的“重启并监视”)。最后一步,利用Systemgepa,irEngineer软件去删除病毒创建的服务。打开SystemgepairEngineer,选择“启动项目”,再选择“服务”,最后点击“w}n52服务应用程序”,在服务列表中删除病毒所添加的服务。并且删除刚才建立的&utorug.inf和rising.exe文件夹。通过此次杀毒,我们了解了分析病毒原理和病毒保护机制的重要性,只有清楚的了解病毒的运行原理和病毒的保护机制,我们才能对症下药,药到病除,才能实现真正的彻底的删除顽固病毒。(本文所涉及到的SystemgepMrEngineer、IceSword和F_lemnn已收录到光盘中)蹬什么是注入点就是可以实行注入的地方,通常是一个可以访问数据库的链接。根据注入点数据库的运行$Eg的权限不同,你所得到的权限也不同。比如MssQL的sA帐号,它所对应的注入点通常但如果是统命令,但bShell后目Ⅷ嗣Ⅲ
正文摘录:
毒文件,并且启动这个保护机制。使病毒在系统内正常运行。若系统和互联网有连接,这个进程还会隔一段时间下载一个木马,木马下载齐全需要一定时间,这样可以避开那些细心的观察者(图5)。下载的木马基本都是DLL嵌入类型的木马,它们运行后删除自身,并在C:\windows下建立自身exe文件,还会在C:\windows\system32\下建立同名的dl1文件。当病毒完全进入系统,只有在winlogon里面嵌入一个随机8位16进制数字作为文件名的DLL文件,还有一堆木马,隐蔽性不是很好,但是保护性却很好,如果不是很好的研究保护机制,在windows下很难手工删除。此病毒的保护机制主要是通过服务,往winlogon.exe文件里面注入一个dll线程,通过此线程来对所有根目录下建立的autorun.inf和rising.exe进行保护,并且对自身服务启动项进行保护,这个保护内容是每隔一定时间就会重新建立这两个文件,并使它们带有隐藏、系统等属性,而且使病毒启动服务项目改为自启动,从而达到茔陴∞nlI@~曩潭啦麟∞精∞瘩}彘社臣0Iv甲蠲”盛孽k---器…一.譬。一一曲怕:]_l吐一…B2BL0cI、……f鞴‘目]tllB2Bql,EⅡI盯0捌^Ⅱ嚆、nt~i=ff‘g]…B28堋Ⅸx、…Ⅲi=ff∞.计。]TI正一“·略B删向褂m吁ⅦⅢs、I”t“Ul^∞Ⅸm∞=]tld…·-·e髓quEⅡⅦ口口)-s、fnt_艘、5∞葛lF^Ensg∞‘=tld。‘m…B2Bq∞Ⅻ,。ⅡI“Ⅶm”、,nt_∞、∞m1,^Ⅲs950]fld㈣…qⅡHIⅡ0^nq、¨mm、‘玎t“、∞∞5lrkm5g驰]_d一…旺日日幔斟I肿蹦^nO、frlⅡ0ts、…&、B日D*l『^m朝j]-“·。62Bm哺I肝0蹦盯10H、risine-wld州“·qI口“硼IH^Ⅱ0H、盯ID0ms、‘vn·_艟、8卸日5lP^ⅡI二jwdo‘oh…B∞眦、…rⅡinf辨。==]_ldo‘∞·#·8∞日l删HⅡmH^ⅡOI、…fni“∞3tld。m—B∞vⅡK、Ⅱ¨r恤inf59=],ln……62BLOcK\tuto~in~5q5目:j-l丑1一“·.6拍q理H翻如确ⅡI汀、…~,Ⅱf5g∞=]-Id—q·.B28ⅦiDB、“…lnf∞5g:3do‘%u·B2日Lm、“t…lⅡf∞-5g,q·B28日l皿1、Ⅱt…inf∞3_ld㈣“·628lJⅢ∞x、…inf∞∞=]_InoE仰一q怔Ⅱ珊。矗盯10*ⅦD咖、Iyn·-02、BBⅡ艏1FAⅡzfI虹口0m“6端口,0确删H、"xⅪ6、,¨“艘、68D砗lr^吐!轴]fld删‘B2Bql衄Ⅱ~syst_弛、6锄蛞l,^HE=3fI吐。‘吼…啪qlⅢ"I"0髓^Ⅱ嘣h…si-z595日—3do‘哺“·gt脏HI啪Bt盯10W、札D口"、s¨tn女、6BD昨l,^nE∞5g=“·6柚L0江、ut—In±∞5g=-,d·‘々n…6∞m嘞mI盯0Rn^nOH、“…In±∞59:3_·吐。‘雌H·ⅥnD暖、-ut…inf=]…d28L叱I、“t…I】d轴∞:]-1do‘·^“·B∞q哪l、¨…lnf。:]’Ino‘口n一82BⅧIDcz、Iut—in~明。:3fl正o‘on“e8∞m、……f聃50二]tln一一B黯quE射、·q…1nf5g5目=]tld…·ⅧlDⅡ、…runin~50=-ld…·I·口t哪I瑚0|盯10*、nHD口B、#v~女、68ⅢlnⅡ|5口::d……q{I£ⅡIn0ⅫⅡⅫ、"硼0髂、,,~弛、88砷5lF^ⅡE∞59=j-I“一…5∞ⅫⅢI"0Ⅱ∞H、ⅢE、Hlt¨32、BBD*l,^!Ⅱ┗┻┻┛保护病毒进程不能彻底被删除的作用(图6)。除了这个winlogon的线程保护以外,此病毒还使用了一些常见的病毒保护措施,比如隐藏进程的保护,使得用户找不到病毒进程,并且在c、D、E三个盘的根目录中,都建立了隐藏的autorun.inf和rising.exe文件,通过传统的autorun.inf文件对病毒进行保护。兰、病毒删除分析完了病毒的保护机制和病毒运行原理后,我们就可以轻松的删除病毒了,这个病毒可以在安全模式下删除,也可以在正常模式下删除。我使用了第二种方法,因为它比较有挑战性,也方便。第一步,针对这个wleIogon.exe的注入线程保护,我做7如下处理,在任意地点(我选择桌面)建立一个以autorufl.jnf命名的文件夹,并且选择复制(c”l+C),撩后删除C盘根目录下的&utorun.jnf文件,并快速选择粘贴(Ctrl+V),重复刚才的事情,把D、E盘的~utoruninf同样使用以~utorun.inf命名的文件夹替代。这时目为文件保护,C、D、E盘我们所建立的autorue.1nf文件央会自动增加隐藏、只读等属性。同时按照刚才的步骤,对每一个ris】ng.exe文件进行同样的处理,以ri8ingexe文件夹进行同样的替换。这样,就可以防止因为winlogon.exe的注八线程保护,病毒死友复燃。第:步,打开冰刃(1ceSword),点菜单栏中文件下面的“设置”,打开设置对话框,选中“禁止进线程创建”,这是为T防止结束进程后,病毒再次创建进程进行保护。第三步,利用冰刃(IceSword)删除所有病毒添加图6的文件.注册表项目,禁用病毒创建的服务。这样藕毒在硬盘中的痕迹就已经清除,利用计算机的冷启动。重新启动计算机(如果没有冷启动或者不愿使用。可以在冰刃中点击幕单栏中文件下的“重启并监视”)。最后一步,利用Systemgepa,irEngineer软件去删除病毒创建的服务。打开SystemgepairEngineer,选择“启动项目”,再选择“服务”,最后点击“w}n52服务应用程序”,在服务列表中删除病毒所添加的服务。并且删除刚才建立的&utorug.inf和rising.exe文件夹。通过此次杀毒,我们了解了分析病毒原理和病毒保护机制的重要性,只有清楚的了解病毒的运行原理和病毒的保护机制,我们才能对症下药,药到病除,才能实现真正的彻底的删除顽固病毒。(本文所涉及到的SystemgepMrEngineer、IceSword和F_lemnn已收录到光盘中)蹬什么是注入点就是可以实行注入的地方,通常是一个可以访问数据库的链接。根据注入点数据库的运行$Eg的权限不同,你所得到的权限也不同。比如MssQL的sA帐号,它所对应的注入点通常但如果是统命令,但bShell后目Ⅷ嗣Ⅲ
阅读此文(图): 在线翻阅