《tcse04病毒问题处理技巧》由会员分享,可在线阅读,更多相关《tcse04病毒问题处理技巧(48页珍藏版)》请在金锄头文库上搜索。
1、病毒防范及处理方法解析,张 芳 2011.7,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,互联网威胁,病毒通过各种方式复制感染其它文件 蠕虫自动传播自身的副本到其它计算机 木马在主机上未经授权自动执行 后门在主机上开放端口允许远程计算机访问 间谍软件检测用户的使用习惯和个人信息,在未经用户认知和许可下发送给第三方 以上统称:恶意代码,威胁分类,防间谍软件产品覆盖范围,防病毒产品覆盖范围,趋势科技对恶意程序的定义,病毒流行趋势,范围:全球性爆发逐渐转变为地域性爆发 如WORM_MOFEI.B等病毒逐渐减少 TSPY_QQPASS, TSPY_WOW, PE
2、_LOOKED等病毒逐渐增加 速度:越来接近零日攻击(Zero-Day Attack) 如WORM_ZOTOB, WORM_IRCBOT等 方式:病毒、蠕虫、木马、间谍软件联合 如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒,病毒传播或感染途径,电子邮件:WORM_MYTOB,WORM_STRATION 网络共享:WORM_SDBOT P2P 共享:WORM_PEERCOPY.A 系统漏洞:WORM_MYTOB 、WORM_SDBOT 其它(目前大多数木马、间谍软件的感染方式) 移动磁盘传播 网页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放,概
3、述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,病毒感染的一般过程,通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能 打开后门等待连接 发起DDOS攻击 进行键盘记录 . 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。,病毒自启动方式,修改系统 修改注册表 启动项 文件关联项 系统服务项 BHO项 将自身添加为服务 将自身添加到启动文件夹 修改系统配置文件 自动加载 服务和进程病毒程序直接运行 嵌入系统正常进程DLL文件和OCX文件等 驱动SYS文件,常见的病
4、毒行为,自动弹出网页 占用高CPU资源 自动关闭窗口 自动终止某些进程 .,无论病毒在系统表现形式如何 我们需要关注的是病毒的隐性行为!,病毒的隐性行为(一),下载特性 自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种 后门特性 开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控 信息收集特性 收集私人信息,特别是帐号密码等信息,自动发送 自身隐藏特性 使用Rootkit技术隐藏自身的文件和进程,病毒的隐性行为(二),文件感染特性 感染系统中部分/所有的可执行文件,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。 典型
5、PE_LOOKED 维京 PE_FUJACKS 熊猫烧香 网络攻击特性 针对微软操作系统或其他程序存在的漏洞进行攻击 修改计算机的网络设置 向网络中其它计算机发送大量数据包以阻塞网络 典型 震荡波 ARP攻击,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,趋势产品杀毒机制(一),扫毒模块 扫描并检测含有恶意代码的文件,对其进行识别 对于被文件型病毒感染的可执行文件进行修复 组件 扫描引擎-VSAPI & TMFilter 病毒码-LPT$VPN.xxx 间谍软件病毒码-TMAPTN.xxx 网络病毒码-TMFxxxxx.PTN,趋势产品杀毒机制(二),杀毒
6、模块 损害清除服务(DCS) 对于正在运行/已经加载的病毒进行清除 终止进程 脱钩DLL文件 删除文件 恢复被病毒修改过的注册表内容,起到修复系统的作用 可视为趋势通用专杀工具 组件 损害清除引擎(DCE)-TSC.EXE 损害清除模板(DCT)-TSC.PTN 间谍软件清除病毒码-TMADCE.PTN,中国区病毒码(China Pattern),本地化,主动性 通过“主动”收集中国地区大量病毒样本(Sourcing),快速分析,由China Regional Trend Labs发布针对中国地区的病毒码。 包含全球病毒码特性 中国区病毒码完全包含全球病毒码,并极大增加了对本地病毒的查杀数目和
7、能力。 是根据中国病毒的特点,发布的病毒码版本。 技术领先特性,增强查杀率 中国区病毒码整合了多项智能扫描病毒技术,Intellitrap技术,最新杀病毒DCE5技术等多项查杀毒功能,大大增强了病毒查杀率。,为什么会出现无法清除的病毒?,有病毒本身的特性决定,为什么会出现无法隔离/删除的病毒?,当病毒感染系统后 病毒进程已经被系统加载 病毒DLL文件已经嵌入到正在运行的系统进程中 Windows自身的特性:对于已经加载的文件无法进行改动操作,从而导致病毒扫描引擎对检测到的文件无法操作。 已经加载的病毒不包含在损害清除模板(DCT)中,病毒问题处理的标准流程,发现系统异常,怀疑有产品无法查到或处
8、理的病毒 在征得用户同意的情况下,拔除网线 收集病毒日志 客户机端pccnt35.log 收集系统日志和样本 运行sic工具收集系统信息 使用在线分析系统,上传sic日志,获取样本提取工具 运行样本提取工具,提取病毒样本包 将步骤3和4生成的三个文件提交给趋势科技 趋势提供病毒解决方案,病毒样本提交时,如自行压缩请加密为virus,SIC工具的使用,下载地址: http:/ 智能分析系统: http:/ (仅用于sic3.3及以下版本) 人工分析: siclog.txt,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,手动病毒处理方法,如何来防病毒? 安装杀
9、毒软件,并及时更新防病毒组件 及时更新系统和应用软件补丁,修补漏洞 强化密码设置的安全策略,增加密码强度 加强网络共享的管理 增强员工的病毒防范意识 中毒了怎么办? 重装系统 系统还原 Ghost还原,删除病毒文件 修复病毒修改的注册表和文件,手动病毒处理步骤(一),关闭系统还原 进入安全模式 终止所有可疑进程和不必要的进程 显示隐藏文件 工具-文件夹选项 选择“显示所有文件” 取消“隐藏受保护的系统文件” 仍然无法显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidde
10、nNOHIDDEN CheckedValue = 2 DefaultValue = 2 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue = 1 DefaultValue = 2,手动病毒处理步骤(二),判断可疑文件 路径 %SystemRoot% %SystemRoot%System32 %SystemRoot%System32drivers 按照日期排列文件,查看文件版本信息 可执行文件 .EXE,.COM,.SCR,.PIF DL
11、L文件和OCX文件 LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件,可以直接双击打开查看其内容是否为文本。若为乱码,则可疑。 Google之 联系趋势科技工程师,手动病毒处理步骤(三),修复被病毒修改的host文件 %SystemRoot%System32driversetchost 默认仅包含一条host记录 127.0.0.1 localhost 清空临时文件夹 %SystemRoot%Temp C:Temp Internet临时文件 C:Documents and SettingsLocal SettingsTemp 清理注册表等启动项信息,常用工具介绍,Process Exp
12、lorer IceSword SIC TCPView 分析网络连接 Regmon,InstallRite 监视注册表 Filemon,InstallRite 监视文件系统 趋势科技闪电杀毒手 中小企业软件包,常用工具介绍-TCP View,TCP View 功能: 查看系统的网络连接信息(远程地址,协议,端口号) 查看系统的网络连接状况(发起连接,已连接,已断开) 查看进程打开的端口 动态刷新列表 多用于查看 蠕虫,后门,间谍等恶意程序,常用工具介绍-Regmon,Regmon主要功能: 监视系统中注册表的操作: 如 注册表的打开,写入,读取,查询,删除,编辑等 多用于监视病毒的自启动信息和方
13、式.,常用工具介绍-Filemon,Filemon主要功能: 监视文件系统的操作: 如建立文件,打开文件,写文件, 读文件,查询文件信息等 多用于查找Dropper的主体程序.,常用工具介绍-InstallRite,InstallRite功能: 跟踪文件系统的变化 跟踪注册表的变换 注:若恶意程序带有RootKit功能, 请重启后进入安全模式再分析系统变化(如灰鸽子某些变种) 局限性: 解决方法 无法跟踪进程树的变化 Process Explorer 无法跟踪网络连接和端口情况 TCP Viewer,中小企业包软件包,网络安全扫描 网络安全防御 实现网络安全组件,网络安全扫描,病毒全天候查杀
14、自定义扫描 专业病毒处理,网络安全防御,抵御突如其来的病毒 未雨绸缪,防重于守,实现网络安全工具,实现全面安全防护,概述,病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享,Wrom_Downad,传播手段 网络共享(MS08-067) 漏洞 移动存储 P2P传播(较少),DOWNAD/Conficker变种的例行操作,网络流量对比图,1小时正常局域网流量 VS. 1小时WORM_DOWNAD.KK流量,感染标志,445端口的网络流量异常升高 在如下注册表项目中出现随机命名的键值 HKLMSoftwareMicrosoftWindows NTCurrentVersio
15、nSvchost 系统自动连接到多个URL 无法访问防毒网站,例如趋势科技的网站 系统文件夹下出现一个名为X的文件 多个系统服务被禁用 无法查看隐藏文件。通过文件夹选项也无法修改设置 出现很多不是用户自己创建的计划任务 可以在“开始控制面板计划任务”中查看 也可以在“开始附件系统工具计划任务”中查看,对未受影响用户的保护策略,Intrusion Defense Firewall (IDF)可以保护网络免受类似的零日攻击 未使用IDF的网络管理员,可以通过如下方式实施保护 从如下链接下载Vulnerability Assessment工具,用于探查网络中存在漏洞的机器: http:/ 从如下链接下载Network Virus Pattern 10273 或以上,用于在网络层探查漏洞攻击数据包 http:/ 对尚未打上补丁的机器,应用补丁MS08-067 保持病毒特征码能及时升级到最新版本,在病毒发作的各个阶段可供使用的防护方案,IDF 可以保护网络免受漏洞攻击,S
