“安全回归”顽固病毒--终截者

前言
     由于平时工作需要,需要为客户提供一些病毒清除及响应工程。在近期的一些工作总结中,发现目前的病毒还挺有“组织协调”能力,远不止以前的“单兵作战”,逐渐向“病毒职业化”方向了,清除难度也大大增加,于是有了以下 “反病毒响应工程”中一文。
     比如,一个病毒或木马,负责从其他渠道进来(如网页挂马、局域网共享、U盘感染、远程溢出 攻击等方式),按功能定义的话,简单称之为“入侵组”,他负责在客户的 电脑占领一席之地。然后,配合远程指令里应外合,按照不同的需求DownLoad其他组的成员,比如“抗干扰组”或“清除障碍组”(比如,清除杀毒 软件、干扰杀毒软件正常杀毒功能等),如果是基于窃取QQ或某类游戏密码或装备,则调用“分析判断组”,之后协调“窃听组”。如此周密地行动。

碰到的问题
时间:2007-11-10  (周六)
地点:某市某区科技园
环境:Windows 2000 操作系统 & 热血江湖之类的网游(客户的热爱)
故障检测
        1、打开网页,时不时正常访问,表面看上去似乎是网络通信问题;
        2、使用“安全分析 专家”检查发现较多隐藏的问题( Autoruns无法检查出ShellExecuteHooks);
        3、部分注册表RUN自启动项,删除后,自动被恢复;( 无法删除注册表键值)
        4、将“安全分析专家”检查出来的可疑病毒,手工清除无效,使用IceSword强力清除,可以清除,但还是被恢复;( 有监控线程注入到系统进程中,负责病毒体的反删除与恢复)

总结问题
    从故障及清除过程来看,该病毒木马采用了多种顽固手法以提高杀毒软件或手工清除的难度。并结合一些自我恢复 手段保障病毒体的完整。

顽固手法及自我恢复手法清单:
        1、无法删除病毒体文件;
        2、无法删除注册表自启动加载的键值;
        3、挂钩SSDT,实时监控并恢复相关的注册表、文件内容;
        4、 挂钩ShellExecuteHooks,使用Explorer 资源管理器自动加载其病毒本身;
        5、挂钩Svchost.exe系统服务中, 注册ServiceDLL,或篡改系统正常的ServiceDLL;
        6、 挂钩WinSock LSP;
        7、病毒体随机性,以 *door?.dll 的形式变换;
解决方案
     针对以上问题,不难发现当前病毒的一种协同合作,分工明细。不亚于公司团队的职责制。那么,如何解决这种问题呢?
     从顽固病毒所采用的保护手段,我们可以逐一瓦解,最后再清除病毒体,因此,在看本文时,你可以参考解决方案是从下往上看。

处理过程:
     1、使用“终截者抗病毒软件”中的功能“ 安全回归”,系统重新启动后,会通过自己特有的一套处理机制,将系统未通过验证的服务与自启动禁止系统加载其本身;其中“安全回归”功能还可以起到 禁止加载ShellExecuteHooks所指向的DLL;达到很好的迅速回归到“安全状态”;
    2、经过“终截者-安全回归”之后,可以清除大部分病毒体,但还有部分以“*door1.dll”(星号表示这些病毒体有随机性),还是没有最终发现出来的顽固病毒。(经检查这是终截者抗病毒软件安全回归功能需要改进的地方,有些ServiceDLL似乎没有拦截到)
    3、使用Windows系统所特有的 NTFS权限设置方法,将需要处理的顽固病毒列表,逐个赋予“Administrators”、“System”、“Everyone”三个组的权限为“所有拒绝”。禁止系统加载读取与加载该病毒体。
    4、使用 IceSword 文件强制删除功能,清除顽固病毒列表中的病毒体。
    5、删除电脑网卡驱动程序,并重新安装网卡驱动;起到清除WinSock LSP劫持, 恢复正常LSP浏览链;
    6、重新启动电脑,检查下清除结果:OK ! 系统各方面使用恢复正常,网络访问正常。

你可能感兴趣的:(职场,休闲,安全回归,终截者,顽固病毒清除)