《病毒防范及处理方法解析 [共36页]》由会员分享,可在线阅读,更多相关《病毒防范及处理方法解析 [共36页](36页珍藏版)》请在金锄头文库上搜索。
1、病毒防范及处理方法解析,沈赟2009.1,概述,病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享,概述,病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享,互联网威胁,病毒通过各种方式复制感染其它文件蠕虫自动传播自身的副本到其它计算机木马在主机上未经授权自动执行后门在主机上开放端口允许远程计算机访问间谍软件检测用户的使用习惯和个人信息,在未经用户认知和许可下发送给第三方以上统称:恶意代码,威胁分类,防间谍软件产品覆盖范围,防病毒产品覆盖范围,趋势科技对恶意程序的定义,病毒流行趋势,范围:全球性爆发逐渐转变为地域性爆发如WORM_MOFEI.B等病毒逐渐减少
2、TSPY_QQPASS,TSPY_WOW,PE_LOOKED等病毒逐渐增加速度:越来接近零日攻击(Zero-DayAttack)如WORM_ZOTOB,WORM_IRCBOT等方式:病毒、蠕虫、木马、间谍软件联合如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒,病毒传播或感染途径,电子邮件:WORM_MYTOB,WORM_STRATION网络共享:WORM_SDBOTP2P共享:WORM_PEERCOPY.A系统漏洞:WORM_MYTOB、WORM_SDBOT其它(目前大多数木马、间谍软件的感染方式)移动磁盘传播网页感染与正常软件捆绑用户直接运行病毒程序由其他恶意
3、程序释放,概述,病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享,病毒感染的一般过程,通过某种途径传播,进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能打开后门等待连接发起DDOS攻击进行键盘记录.除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。,病毒自启动方式,修改系统修改注册表启动项文件关联项系统服务项BHO项将自身添加为服务将自身添加到启动文件夹修改系统配置文件自动加载服务和进程病毒程序直接运行嵌入系统正常进程DLL文件和OCX文件等驱动SYS文件,常见的病毒行为,自动弹出网页占用高CPU资
4、源自动关闭窗口自动终止某些进程.,无论病毒在系统表现形式如何我们需要关注的是病毒的隐性行为!,病毒的隐性行为(一),下载特性自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种后门特性开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控信息收集特性收集私人信息,特别是帐号密码等信息,自动发送自身隐藏特性使用Rootkit技术隐藏自身的文件和进程,病毒的隐性行为(二),文件感染特性感染系统中部分/所有的可执行文件,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。典型PE_LOOKED维京PE_FUJACKS熊猫烧香网络攻击特性针
5、对微软操作系统或其他程序存在的漏洞进行攻击修改计算机的网络设置向网络中其它计算机发送大量数据包以阻塞网络典型震荡波ARP攻击,概述,病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享,趋势产品杀毒机制(一),扫毒模块扫描并检测含有恶意代码的文件,对其进行识别对于被文件型病毒感染的可执行文件进行修复组件扫描引擎-VSAPI&TMFilter病毒码-LPT$VPN.xxx间谍软件病毒码-TMAPTN.xxx网络病毒码-TMFxxxxx.PTN,趋势产品杀毒机制(二),杀毒模块损害清除服务(DCS)对于正在运行/已经加载的病毒进行清除终止进程脱钩DLL文件删除文件恢复被病毒修改过的
6、注册表内容,起到修复系统的作用可视为趋势通用专杀工具组件损害清除引擎(DCE)-TSC.EXE损害清除模板(DCT)-TSC.PTN间谍软件清除病毒码-TMADCE.PTN,中国区病毒码(ChinaPattern),本地化,主动性通过“主动”收集中国地区大量病毒样本(Sourcing),快速分析,由ChinaRegionalTrendLabs发布针对中国地区的病毒码。包含全球病毒码特性中国区病毒码完全包含全球病毒码,并极大增加了对本地病毒的查杀数目和能力。是根据中国病毒的特点,发布的病毒码版本。技术领先特性,增强查杀率中国区病毒码整合了多项智能扫描病毒技术,Intellitrap技术,最新杀病
7、毒DCE5技术等多项查杀毒功能,大大增强了病毒查杀率。,为什么会出现无法清除的病毒?,有病毒本身的特性决定,为什么会出现无法隔离/删除的病毒?,当病毒感染系统后病毒进程已经被系统加载病毒DLL文件已经嵌入到正在运行的系统进程中Windows自身的特性:对于已经加载的文件无法进行改动操作,从而导致病毒扫描引擎对检测到的文件无法操作。已经加载的病毒不包含在损害清除模板(DCT)中,病毒问题处理的标准流程,发现系统异常,怀疑有产品无法查到或处理的病毒在征得用户同意的情况下,拔除网线收集病毒日志客户机端pccnt35.log收集系统日志和样本运行sic工具收集系统信息使用在线分析系统,上传sic日志,
8、获取样本提取工具运行岩本提取工具,提取病毒样本包将步骤3和4生成的三个文件提交给趋势科技趋势提供病毒解决方案,概述,病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享,手动病毒处理方法,如何来防病毒?安装杀毒软件,并及时更新防病毒组件及时更新系统和应用软件补丁,修补漏洞强化密码设置的安全策略,增加密码强度加强网络共享的管理增强员工的病毒防范意识中毒了怎么办?重装系统系统还原Ghost还原,删除病毒文件修复病毒修改的注册表和文件,手动病毒处理步骤(一),关闭系统还原进入安全模式终止所有可疑进程和不必要的进程显示隐藏文件工具-文件夹选项选择“显示所有文件”取消“隐藏受保护的系统文
9、件”仍然无法显示隐藏文件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue=2DefaultValue=2HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=1DefaultValue=2,手动病毒处理步骤(二),判断可疑文件路径%SystemRoot%SystemRoot%Syste
10、m32%SystemRoot%System32drivers按照日期排列文件,查看文件版本信息可执行文件.EXE,.COM,.SCR,.PIFDLL文件和OCX文件LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件,可以直接双击打开查看其内容是否为文本。若为乱码,则可疑。Google之联系趋势科技工程师,手动病毒处理步骤(三),修复被病毒修改的host文件%SystemRoot%System32driversetchost默认仅包含一条host记录127.0.0.1localhost清空临时文件夹%SystemRoot%TempC:TempInternet临时文件C:Documentsa
11、ndSettingsLocalSettingsTemp清理注册表等启动项信息,常用工具介绍,ProcessExplorerIceSwordSIC-,概述,病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享,典型病毒案例分析:WORM_LOVGATE.AE(一),WORM_LOVGATE.AE的自身安装该蠕虫会在执行后,生成以下文件:%System%hxdef.exe%System%IEXPLORE.exe%System%kernel66.dll%System%RAVMOND.exe%System%TkBellExe.exe%System%Update_OB.exe%Windo
12、ws%SYSTRA.EXE%Windows%svchost.exe并在Windowssystem目录中释放以下后门组件LMMIB20.DLLMSJDBC11.DLLMSSIGN30.DLLODBC16.DLLSPOLLSV.EXENETMEETING.EXEIEXPLORER.EXE其中的DLL文件被检测为WORM_LOVGATE.Q,EXE文件被检测为WORM_LOVGATE.V,典型病毒案例分析:WORM_LOVGATE.AE(二),WORM_LOVGATE.AE的自启动:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
13、下WinHelpC:WINDOWSSystem32TkBellExe.exe“ShellExtension=%System%spollsv.exe“HardwareProfile=%System%hxdef.exe“ProtectedStorage=RUNDLL32.EXEMSSIGN30.DLLondll_reg“MicrosoftNetMeetingAssociates,Inc.NetMeeting.exe“ProgramInWindowsC:WINDOWSSystem32IEXPLORE.EXEVFWEncoder/DecoderSettings=RUNDLL32.EXEMSSIGN30
14、.DLLondll_reg“HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下runRAVMOND.exe“,典型病毒案例分析:WORM_LOVGATE.AE(三),通过修改注册表,将自身注册成服务HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下,COM+System=svchost.exe“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下,
15、SystemTra=C:WINDOWSSysTra.EXE“HKEY_LOCAL_MACHINESystemCurrentControlSetServices下,注册_reg和WindowsManagementProtocolv.0(experimental)两个服务对基于NT的系统,它会添加一个AUTORUN.INF文件,该文件允许window的自动播放功能来执行系统根目录下的COMMAND.EXE.它还会创建相关的注册表项:HKEY_LOCAL_MACHINESoftwareClassesAutoRun2ShellAutoRuncommand下,Default=C:COMMAND.EXE/
16、StartExplorer,典型病毒案例分析:WORM_LOVGATE.AE(四),大量邮件传播该病毒通过MAPI来回复系统中找到的电子邮件;它发送的邮件是原始邮件的主题前加RE:,并邮件正文的第一部分保留原始邮件。该邮件包含文件变化的附件。该病毒还通过搜索WindowsAddressBook(WAB)取得邮件接收目标,并利用自带的SMTP引擎来发送电子邮件。,典型病毒案例分析:WORM_LOVGATE.AE(五),网络共享传播该病毒会尝试在开放写入权限的网络共享文件夹中放入自身副本,并利用社会工程学,以以下名字命名:admin$system32NetManager32.exe它会在windows目录中建立共享文件夹,并将自己复制到该文件夹中,并以以下的文件名命名。,典型病毒案例分析:WORM_LOVGATE.AE(六),结束进程这个蠕虫会结束包含有以下任一字符串的进程MCAFEERAVMON.EXERFW.EXERISINGSKYNETSYMANTEC文件关联HKEY_CLASSES_ROOTtxtfileshellopencommandDefaultUpdate
