一种顽固的U盘病毒的手工查杀

点赞:4433 浏览:13646 近期更新时间:2024-01-08 作者:网友分享原创网站原创

摘 要:U盘病毒是一种比较常见的病毒类型,脚本类型的U盘更因编写简单而大受制造者们的亲睐.通过分析一种脚本类型的U盘病毒运行机制及查杀方法,来揭开病毒的面纱及为读者提供手工查杀病毒的思路.


关 键 词 :U盘;脚本;病毒;进程

1.前言

U盘病毒因编写简单、传染简单而一直占有一定的市场,它不依赖系统的漏洞,也不依赖网络,在用户使用U盘传输信息的同时不经意地就实施了传播.U盘病毒可以是一个可执行文件,也可以是一个简单的脚本文件,甚至可以是一个批处理文件.

2.病毒的运行

下面要介绍的是一种脚本病毒,病毒文件名为 *.vbs, “*”为一个自动产生的随机数,每次感染产生的数值都不一样,该病毒主要感染windows XP系统,带毒的U盘里的自动运行文件autorun.inf被修改如下:

[AutoRun]

Shellexecute等于WScript.exe *.vbs “AutoRun”

Shell\open等于打开(&o)

Shell\open\mand等于WSscipt.exe *.vbs “AutoRun”

Shell\open\Default等于1

Shell\explore等于资源管理器(&X)

Shell\explore\mand等于WScript.exe *.vbs “AutoRun”

从以上代码可以看出,无论对U盘进行怎样的操作――双击打开、右击打开、右击选择资源管理器等,都会导致病毒运行,从而使得病毒进一步传播.

3.病毒的表现及原因分析

被病毒感染了的机器会有如下一些表现:

⑴所有盘符中的一级文件夹变成1KB快捷方式,但双击可以打开相应的文件夹,文件夹的目标属性变成c:\*.vbs “c:\windows\Dir”.由目标属性的值可分析出,病毒将实际的文件夹隐藏,同时在盘符的根目录下生成了病毒的备份,并将快捷方式指向文件夹本身和隐藏的病毒文件,使得每单击一快捷方式病毒被运行一次,同时打开真实的文件夹,不仅让病毒多次运行,还增强了病毒的迷惑性.如图1所示.

⑵REGEDIT、CMD等与安全相关的工具窗口打开后立即关闭或打开后稍候几秒,便自动关闭.病毒中有相关代码循环关闭REGEDIT、CMD等窗口,使得用户无法利用这些系统提供的工具检测及处理病毒的存在,增加了病毒查杀的困难性.

⑶在进程列表中增加了三个进程,分别SVChost.exe(两个)和WScript.exe,如图2所示.

图2中,两个svchost.exe是病毒的主程序,并且这两个进程相互保护,删除其中一个,另一个自动帮助恢复,除非两个进程同时删除,这也增加清除病毒的困难性.wscript.exe是系统进程,用于运行脚本程序,在这里用来启动病毒程序*.vbs.

⑷病毒还污染了两个系统进程explorer.exe和ss.exe.病毒利用了ntfs文件系统的流式注入法修改了正常文件explorer.exe和ss.exe,如图3和图4所示.

4.解决方法

这个病毒因为没有太强的破坏性和典型性,很多的杀毒软件都无法查杀,下面根据以上的运行分析来说明该病毒的手工查杀方法.

一种顽固的U盘病毒的手工查杀参考属性评定
有关论文范文主题研究: 病毒类论文范文 大学生适用: 学术论文、研究生毕业论文
相关参考文献下载数量: 16 写作解决问题: 怎么写
毕业论文开题报告: 标准论文格式、论文总结 职称论文适用: 核心期刊、职称评初级
所属大学生专业类别: 怎么写 论文题目推荐度: 优秀选题

结束病毒进程是查杀病毒的第一步.因为病毒用两个进程来相互保护,要结束病毒进程必须两个进程同时结束,由于系统提供的进程管理工具一次只能结束一个进程,并且被病毒监控,故需要找一个第三方的进程管理工具,如Icesword或Prcmgr等,同时结束两个用户名为administrator的Svchost进程和wscript进程.由于病毒污染了系统进程explorer和ss,所以这两个进程在清除病毒源程序之前也要结束.由于explorer进程是系统的桌面管理进程,结束后只能用命令的方式操作机器,对用户来说很不方便,故得找一个干净的explorer和ss程序,在命令模式下替换掉系统中感染了的相应的程序,然后启动两个干净的进程,以显示桌面.清除感染进程后,不要随便操作计算机,以免触发病毒再次运行.

第二步,修改注册表和文件夹属性,将隐藏文件和系统文件都显示出来.真实的文件夹和病毒都在其中,将每一个盘符根目录下的病毒源文件*.vbs和快捷方式逐一删除,此时系统中的病毒已经清除,剩下的事情就是恢复系统了.

恢复系统包括两个方面的问题,一是恢复注册表,二是恢复真实文件夹的系统和隐藏属性.注册表的修复要依赖于用户平时良好的安全习惯和意识,在对系统作重大改动时,一般都要对注册表进行备份.对真实文件夹的属性修改用在图形界面下已经是无能为力了,需要通过命令的方法进行,用命令“attrib -s -h文件夹名”逐一恢复文件夹的属性.

最后一步,别忘了对U盘的清理.首先通过组策略关闭U盘的自动播放功能,避免autorun.inf文件去激活病毒,再插入U盘,注意一定不能用双击、右击等方式打U盘,这些操作都会激活病毒.只能在命令提示符下进入U盘,删除其中的病毒文件、autorun.inf文件、快捷方式,并恢复正常文件夹的文件属性.

至此,用手工的方法完成了病毒的清除和系统的恢复.

[参考文献]

[1]http://baike.baidu./view/603374..

[2]张涛.网络安全管理技术专家门诊[M].北京:清华大学出版社,2005.

[3]http://wenku.baidu./view/c7f5e4315a8102d276a22f90..

[4]肖军模,等.网络信息安全[M].北京:机械工业出版社,2006.

[5]罗诗尧.攻防实战进阶[M].北京:电子工业出版社,2008.