淺析流行病毒的清除

-江民科技培訓(xùn)2008.03這個頁面看有什么異常流行病毒No.6ARP病毒……ARP地址欺騙類病毒（以下簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復(fù)制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運行，因此它的危害比一些蠕蟲還要嚴重得多。ARP協(xié)議的基本功能：通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址。ARP緩存表：在局域網(wǎng)的任何一臺主機中，都有一個ARP緩存表，該表中保存這網(wǎng)絡(luò)中各個電腦的IP地址和MAC地址的對照關(guān)系。當一臺主機向同局域網(wǎng)中另外的主機發(fā)送數(shù)據(jù)的時候，會根據(jù)ARP緩存表里的對應(yīng)關(guān)系進行發(fā)送。

ARP病毒的實現(xiàn)機理假設(shè)一個只有三臺電腦組成的局域網(wǎng)，該局域網(wǎng)由交換機(Switch)連接。其中一個電腦名叫A，代表攻擊方；一臺電腦叫S，代表源主機，即發(fā)送數(shù)據(jù)的電腦；另一臺電腦名叫D，代表目的主機，即接收數(shù)據(jù)的電腦。準備發(fā)送數(shù)據(jù)（1）首先查詢自身的ARP緩存表內(nèi)是否有目標機的ARP數(shù)據(jù)記錄。（2）S電腦會向網(wǎng)內(nèi)發(fā)送廣播，詢問“我的IP是192.168.1.2，硬件地址是MAC2，我想知道IP地址為192.168.1.3的電腦的硬件地址是多少？”準備發(fā)送數(shù)據(jù)正常的數(shù)據(jù)回復(fù)（3）這時，全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了，包括A電腦和D電腦。實施ARP欺騙

（★）但是當此時，沉默寡言的A電腦也回話了：“我的IP地址是192.168.1.3，我的硬件地址是MAC1”。ARP欺騙成功（★）這樣就導(dǎo)致以后凡是IP地址為192.168.1.2的S電腦要發(fā)送給D電腦，都將會發(fā)送給MAC地址為MAC1的A電腦。A電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)！這就是ARP欺騙的過程。ARP病毒檢測工具（1）現(xiàn)在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是AntiARPSniffer（現(xiàn)在已更名為ARP防火墻）AntiARPSniffer這個工具軟件可以較為快捷的定位ARP中毒電腦ARP病毒檢測工具啟動防火墻后，其會自動識別到網(wǎng)關(guān)MAC地址，并記錄網(wǎng)絡(luò)內(nèi)的ARP數(shù)據(jù)信息。如發(fā)現(xiàn)有ARP攻擊，其在任務(wù)欄的圖標會有閃爍并輔以彈出氣泡的提示。ARP病毒檢測工具局域網(wǎng)中存在ARP欺騙時，該數(shù)據(jù)包會被AntiARPSniffer記錄，該軟件會以氣泡的形式報警。這時，我們再根據(jù)欺騙機的MAC地址，對比查找全網(wǎng)的IP－MAC地址對照表，即可快速定位出中毒電腦。上圖為通過ARP防火墻檢測出感染ARP病毒的電腦MAC和IP地址信息。該防火墻還可將攻擊日志保存為文本，以便進行打印后核對。ARP病毒檢測工具（2）當局域網(wǎng)中有ARP病毒欺騙時，往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包，這時，流量檢測機制應(yīng)該能夠很好的檢測出網(wǎng)絡(luò)的異常舉動，此時Ethereal這樣的抓包工具就能派上用場。ARP病毒檢測工具從紅色框內(nèi)的信息可以看出，192.168.0.109這臺電腦正向全網(wǎng)發(fā)送大量的ARP廣播包，一般的講，局域網(wǎng)中有電腦發(fā)送ARP廣播包的情況是存在的，但是如果不停的大量發(fā)送，就很可疑了。而這臺192.168.0.109電腦正是一個ARP中毒電腦。雙劍合璧以上兩種方法有時需要結(jié)合使用，互相印證，這樣可以快速準確的將ARP中毒電腦定位出來。流行病毒No.5鏡像劫持病毒(進程鏡像劫持類病毒)病毒樣本名稱：trojandownloader.agent.qwc

病毒特點：強力關(guān)閉安全軟件，使其無法運行。鏡像劫持病毒的特征⑴病毒運行后會自我復(fù)制到被感染計算機的系統(tǒng)目錄下system32目錄，并重新命名為“dllhos.exe”。⑵修改被感染計算機中的注冊表鍵值HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions，其采用進程映像劫持技術(shù)，使接近五十種殺毒、安全軟件開啟時都會按照注冊表中的鍵值啟動dllhos.exe，導(dǎo)致安全軟件無法正常使用。鏡像劫持病毒特征注冊表HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions鍵值下的內(nèi)容截圖流行病毒No.4機器狗病毒……第一代變種病毒樣本名稱：Trojan.DogArp.a

病毒特點：覆蓋系統(tǒng)文件，穿透系統(tǒng)還原軟件機器狗病毒變種第一代的特征⑴病毒運行后會在被感染計算機的系統(tǒng)目錄下System32文件夾內(nèi)創(chuàng)建一個惡意程序“userinit.exe”，或者直接覆蓋原有的“userinit.exe”。該程序為木馬下載器，會在被感染計算機的后臺連接黑客指定站點獲取其它惡意程序，并在下載后自動安裝。⑵通過在被感染計算機的系統(tǒng)目錄下\System32\drivers\文件夾內(nèi)釋放一個惡意病毒組件“pcihdd.sys”驅(qū)動文件。該文件具有創(chuàng)建磁盤IO接口，自動識別系統(tǒng)盤格式，可進行直接讀寫硬盤操作。具有繞過“冰點還原精靈”、“影子系統(tǒng)”等系統(tǒng)保護軟件的功能,可以把把其他病毒植入真實的系統(tǒng)中。流行病毒No.3機器狗病毒……第二代變種病毒樣本名稱：trojan/psw.onlinegames.rag病毒特點：覆蓋系統(tǒng)文件，穿透系統(tǒng)還原軟件，下載并安裝惡意程序。機器狗病毒變種第二代的特征⑴通過釋放“tmp281.tmp”會覆蓋系統(tǒng)目錄下System32文件夾“explorer.exe”、“conime.exe”、“ctfmon.exe”文件中開始部分的代碼，從而實現(xiàn)其他用途。機器狗病毒變種第二代特征⑵通過修改后的系統(tǒng)文件從外網(wǎng)下載并安裝惡意程序，⑶釋放“phy.sys”可直接掛接磁盤I/O接口，從而對實際硬盤進行直接操作。概念解釋替換：把原目標程序的數(shù)據(jù)代碼全部清除掉，用新的數(shù)據(jù)代碼構(gòu)成的新程序來代替以前的整個程序。這樣，替換后的程序只有新程序的功能。感染：在不破壞原目標程序數(shù)據(jù)代碼的前提下，向原目標程序的數(shù)據(jù)代碼中追加上新程序的數(shù)據(jù)代碼。這樣，感染后的程序既有原目標程序的功能，又有新程序的功能。覆蓋：從原目標程序數(shù)據(jù)代碼的文件頭0地址處開始，向后依次執(zhí)行覆蓋寫入新程序的數(shù)據(jù)代碼操作，我們這里只假設(shè)原目標程序文件遠遠大于新程序。這樣，覆蓋后的程序只執(zhí)行新程序的功能，雖然原目標程序的數(shù)據(jù)代碼還存在一部分，但由于沒有被調(diào)用，所以不會執(zhí)行。流行病毒No.2機器狗病毒……第三代變種病毒樣本名稱：TrojanDownloader.Delf.iiu病毒特點：穿透系統(tǒng)還原軟件，下載并運行惡意程序，可開機自加載。機器狗病毒變種第三代的特征⑴會在被感染計算機系統(tǒng)中的臨時文件夾下釋放一個惡意驅(qū)動文件，命名方式為“~*.tmp”，符號“*”表示隨機。⑵會自我復(fù)制到被感染計算機系統(tǒng)的“\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動\”目錄下，并以原文件名稱保存，同時會將自身保存到真實的物理磁盤中，達到穿透“系統(tǒng)還原保護程序”的目的。病毒運行完畢后可自動刪除惡意驅(qū)動文件，但該驅(qū)動文件仍會駐留在內(nèi)存中。⑶當用戶關(guān)閉或重新啟動計算機時，這個惡意驅(qū)動文件還會把病毒重新再次寫入到真實磁盤中對應(yīng)的“啟動”文件夾里。從而使病毒每次開機都可以利用“啟動”文件夾來實現(xiàn)開機自我啟動運行。流行病毒No.1磁碟機病毒病毒樣本名稱：Win32/Kdcyy.cb病毒特點：強行關(guān)閉安全軟件，利用ARP病毒進行傳播并感染大量文件，消耗系統(tǒng)資源，可通過移動存儲設(shè)備進行傳播，破壞安全模式，注入正常系統(tǒng)進程，可實現(xiàn)隨系統(tǒng)一并啟動。

磁碟機病毒的特征⑴病毒會強行關(guān)閉目前幾乎所有安全工具軟件、殺毒軟件(江民KV2008可以抵御該病毒)。⑵利用“ARP病毒”在局域網(wǎng)中進行自我傳播。[傳播方式：感染了“ARP病毒”的局域網(wǎng)中，除了系統(tǒng)靜態(tài)綁定MAC地址的計算機，其他系統(tǒng)所下載的所有正常EXE程序文件都是“磁碟機”變種(是名稱為“setup.exe”的RAR自解壓安裝包，運行后就會在用戶系統(tǒng)中安裝“磁碟機”變種)]。⑶在中毒的計算機系統(tǒng)中，什么軟件都不運行，CPU占用率還會在50%以上。如果再運行些其他程序軟件，CPU占用率就會接近100%，被感染計算機系統(tǒng)會經(jīng)常死機或長時間的卡住不動。忽略系統(tǒng)盤，然后感染其他盤符的EXE文件、網(wǎng)頁文件、RAR和ZIP壓縮包中的文件等。⑷在所有盤符下生成“autorun.inf”和病毒程序文件體，并且會事實檢測保護這些文件。會利用移動設(shè)備進行自我傳播。⑸破壞注冊表，使用戶無法進入“安全模式”。破壞注冊表，使用戶無法查看“隱藏的系統(tǒng)文件”(時時檢測保護這個選項)。破壞注冊表，使用戶注冊表啟動項失效(部分通過注冊表啟動項開機運行的安全軟件就無法開機啟動運行了)。⑹利用進程守護技術(shù)，將病毒的“l(fā)sass.exe”、“