浅析流行病毒的清除

浅析流行病毒的清除

-江民科技培训2008.03这个页面看有什么异常流行病毒No.6ARP病毒……ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。ARP协议的基本功能：通过目标设备的IP地址，查询目标设备的MAC地址。ARP缓存表：在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当一台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。

ARP病毒的实现机理假设一个只有三台电脑组成的局域网，该局域网由交换机(Switch)连接。其中一个电脑名叫A，代表攻击方；一台电脑叫S，代表源主机，即发送数据的电脑；另一台电脑名叫D，代表目的主机，即接收数据的电脑。准备发送数据（1）首先查询自身的ARP缓存表内是否有目标机的ARP数据记录。（2）S电脑会向网内发送广播，询问“我的IP是192.168.1.2，硬件地址是MAC2，我想知道IP地址为192.168.1.3的电脑的硬件地址是多少？”准备发送数据正常的数据回复（3）这时，全网络的电脑都收到该ARP广播包了，包括A电脑和D电脑。实施ARP欺骗

（★）但是当此时，沉默寡言的A电脑也回话了：“我的IP地址是192.168.1.3，我的硬件地址是MAC1”。ARP欺骗成功（★）这样就导致以后凡是IP地址为192.168.1.2的S电脑要发送给D电脑，都将会发送给MAC地址为MAC1的A电脑。A电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。ARP病毒检测工具（1）现在网上有很多ARP病毒定位工具，其中做得较好的是AntiARPSniffer（现在已更名为ARP防火墙）AntiARPSniffer这个工具软件可以较为快捷的定位ARP中毒电脑ARP病毒检测工具启动防火墙后，其会自动识别到网关MAC地址，并记录网络内的ARP数据信息。如发现有ARP攻击，其在任务栏的图标会有闪烁并辅以弹出气泡的提示。ARP病毒检测工具局域网中存在ARP欺骗时，该数据包会被AntiARPSniffer记录，该软件会以气泡的形式报警。这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。上图为通过ARP防火墙检测出感染ARP病毒的电脑MAC和IP地址信息。该防火墙还可将攻击日志保存为文本，以便进行打印后核对。ARP病毒检测工具（2）当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal这样的抓包工具就能派上用场。ARP病毒检测工具从红色框内的信息可以看出，192.168.0.109这台电脑正向全网发送大量的ARP广播包，一般的讲，局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。而这台192.168.0.109电脑正是一个ARP中毒电脑。双剑合璧以上两种方法有时需要结合使用，互相印证，这样可以快速准确的将ARP中毒电脑定位出来。流行病毒No.5镜像劫持病毒(进程镜像劫持类病毒)病毒样本名称：trojandownloader.agent.qwc

病毒特点：强力关闭安全软件，使其无法运行。镜像劫持病毒的特征⑴病毒运行后会自我复制到被感染计算机的系统目录下system32目录，并重新命名为“dllhos.exe”。⑵修改被感染计算机中的注册表键值HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions，其采用进程映像劫持技术，使接近五十种杀毒、安全软件开启时都会按照注册表中的键值启动dllhos.exe，导致安全软件无法正常使用。镜像劫持病毒特征注册表HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions键值下的内容截图流行病毒No.4机器狗病毒……第一代变种病毒样本名称：Trojan.DogArp.a

病毒特点：覆盖系统文件，穿透系统还原软件机器狗病毒变种第一代的特征⑴病毒运行后会在被感染计算机的系统目录下System32文件夹内创建一个恶意程序“userinit.exe”，或者直接覆盖原有的“userinit.exe”。该程序为木马下载器，会在被感染计算机的后台连接黑客指定站点获取其它恶意程序，并在下载后自动安装。⑵通过在被感染计算机的系统目录下\System32\drivers\文件夹内释放一个恶意病毒组件“pcihdd.sys”驱动文件。该文件具有创建磁盘IO接口，自动识别系统盘格式，可进行直接读写硬盘操作。具有绕过“冰点还原精灵”、“影子系统”等系统保护软件的功能,可以把把其他病毒植入真实的系统中。流行病毒No.3机器狗病毒……第二代变种病毒样本名称：trojan/psw.onlinegames.rag病毒特点：覆盖系统文件，穿透系统还原软件，下载并安装恶意程序。机器狗病毒变种第二代的特征⑴通过释放“tmp281.tmp”会覆盖系统目录下System32文件夹“explorer.exe”、“conime.exe”、“ctfmon.exe”文件中开始部分的代码，从而实现其他用途。机器狗病毒变种第二代特征⑵通过修改后的系统文件从外网下载并安装恶意程序，⑶释放“phy.sys”可直接挂接磁盘I/O接口，从而对实际硬盘进行直接操作。概念解释替换：把原目标程序的数据代码全部清除掉，用新的数据代码构成的新程序来代替以前的整个程序。这样，替换后的程序只有新程序的功能。感染：在不破坏原目标程序数据代码的前提下，向原目标程序的数据代码中追加上新程序的数据代码。这样，感染后的程序既有原目标程序的功能，又有新程序的功能。覆盖：从原目标程序数据代码的文件头0地址处开始，向后依次执行覆盖写入新程序的数据代码操作，我们这里只假设原目标程序文件远远大于新程序。这样，覆盖后的程序只执行新程序的功能，虽然原目标程序的数据代码还存在一部分，但由于没有被调用，所以不会执行。流行病毒No.2机器狗病毒……第三代变种病毒样本名称：TrojanDownloader.Delf.iiu病毒特点：穿透系统还原软件，下载并运行恶意程序，可开机自加载。机器狗病毒变种第三代的特征⑴会在被感染计算机系统中的临时文件夹下释放一个恶意驱动文件，命名方式为“~*.tmp”，符号“*”表示随机。⑵会自我复制到被感染计算机系统的“\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\”目录下，并以原文件名称保存，同时会将自身保存到真实的物理磁盘中，达到穿透“系统还原保护程序”的目的。病毒运行完毕后可自动删除恶意驱动文件，但该驱动文件仍会驻留在内存中。⑶当用户关闭或重新启动计算机时，这个恶意驱动文件还会把病毒重新再次写入到真实磁盘中对应的“启动”文件夹里。从而使病毒每次开机都可以利用“启动”文件夹来实现开机自我启动运行。流行病毒No.1磁碟机病毒病毒样本名称：Win32/Kdcyy.cb病毒特点：强行关闭安全软件，利用ARP病毒进行传播并感染大量文件，消耗系统资源，可通过移动存储设备进行传播，破坏安全模式，注入正常系统进程，可实现随系统一并启动。

磁碟机病毒的特征⑴病毒会强行关闭目前几乎所有安全工具软件、杀毒软件(江民KV2008可以抵御该病毒)。⑵利用“ARP病毒”在局域网中进行自我传播。[传播方式：感染了“ARP病毒”的局域网中，除了系统静态绑定MAC地址的计算机，其他系统所下载的所有正常EXE程序文件都是“磁碟机”变种(是名称为“setup.exe”的RAR自解压安装包，运行后就会在用户系统中安装“磁碟机”变种)]。⑶在中毒的计算机系统中，什么软件都不运行，CPU占用率还会在50%以上。如果再运行些其他程序软件，CPU占用率就会接近100%，被感染计算机系统会经常死机或长时间的卡住不动。忽略系统盘，然后感染其他盘符的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。⑷在所有盘符下生成“autorun.inf”和病毒程序文件体，并且会事实检测保护这些文件。会利用移动设备进行自我传播。⑸破坏注册表，使用户无法进入“安全模式”。破坏注册表，使用户无法查看“隐藏的系统文件”(时时检测保护这个选项)。破坏注册表，使用户注册表启动项失效(部分通过注册表启动项开机运行的安全软件就无法开机启动运行了)。⑹利用进程守护技术，将病毒的“lsass.exe”、“