[转]SREng扫描报告分析

SREng扫描报告分析
第一部分:
启动项目:这部分是系统注册表里系统正常启动时的加载项,xp 系统点开始-运行-msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙,杀毒软件,等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

……

==================================
第二部分:
启动文件夹:就是开始菜单里的启动下面的 东东,一般病毒和木马不会幼稚到这个地步,这里一般是空的。这些东东在安全模式不会被启动。
N/A

==================================
第三部分:
服务:就是我们在“管理-服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑,他们的描述有很大迷惑性,比如“为系统启动提供加速功能”就是最流行的流氓服务,以7255为典型代表。弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征:
1・被rundll32.exe、Svchost.exe等系统进程调用;
2・【】内的前后两项内容相同;
3・所属公司为<N/A>或假冒<Microsoft Corporation>
4・启动文件指向系统目录
凡是有以上特征之一的 ,我们都要怀疑。
例:
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>

==================================
第4部分:
驱动程序:目前最流行的流氓行为!allxun/piaoxue等为代表的流氓就加载到这里。这些东东在安全模式也会被启动加载,并自我保护不被删除。

此类病毒文件用unlocker的删除效果比较好。unlocker删除无效时再尝试费尔强制删除工具。

病毒驱动的特征:
1・除一些知名的流氓软件的驱动外,病毒文件名字都随机产生,所以怪异没有任何含义,尤其是包含数字的要注意。
2・第一行的第二个[]内表示运行状态和启动类型,病毒驱动一般为: [Running/Boot Start]
3・第一行的第一个[]内的“/”前后两项内容相同并且和文件名一样,且全部为小写;
4・所属公司为<>或<N/A>或假冒<Microsoft Corporation>,其他的一般不是病毒(也有例外)
例:
[000057b3 / 000057b3] [Running/Boot Start]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>

[cdnprot / cdnprot] [Running/Boot Start]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>

[vydozqfz / vydozqfz] [Running/Boot Start]
<\SystemRoot\system32\drivers\vydozqfz.sys><>
病毒驱动的新特征:和原来的8位随机字符、6位随机字符加2位数字、5位随机字符等特征不同,是随机字符中间加“_”,很好辨认,注意把握三个特征:启动项目名字和病毒文件同名;启动类型为Boot?Start;所属公司为<N/A>。例:
[hxst_t?/?hxst_t][Stopped/Boot?Start]
<\SystemRoot\system32\drivers\hxst_t.sys><N/A>
[efoq_m?/?efoq_m][Stopped/Boot?Start]
<\SystemRoot\system32\drivers\efoq_m.sys><N/A>

==================================
第5部分:
浏览器加载项: (2007年这里开始潜伏各种流氓加载项,大家注意。这里加载的插件一般都是可有可无的,删除后不会影响ie 浏览的正常功能,所以大可以把怀疑的项目大刀阔斧滴咔嚓掉。)
例:

以下是典型的病毒加载:
[BHOHelper Class]
{67A90DD6-128D-43AB-B97C-565D2DD42A28} <C:\Program Files\real\atloader.dll, Microsoft Corporation>
[ADXAutoLive]
{E5212437-921F-44a3-8865-11C0B9BA4AF2} <C:\Program Files\real\autolive.dll, Microsoft Corporation>

==================================
第6部分:
正在运行的进程
这里是很关键的部分,也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。3448的新变种只能在这里才可以看到明显的加载。我们扫描前要尽量关闭其他的一些正在运行的软件,免得这部分内容太长,看着麻烦。我们要特别注意以下进程调用的dll文件:
C:\WINDOWS\Explorer.EXE

如果一个dll文件注入这个进程,同时又注入其他进程,就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。

另外建议:对于求助报告的回复,要以楼主的申诉症状为主。其他的问题发现了,可以单独提出,不要和主项混在一起。比如对于淘宝,google,百度,雅虎,银行,QQ,阿里巴巴等的插件,可能是求助者使用的,不要一概而论,可以做出提示,由楼主选择。

sreng扫描报告的缺陷:

1、没有扫描到注册表中的首页设置,所以对于在ie快捷方式里添加网址的流氓行为,无法判定是首页被修改还是快捷方式的问题。这个问题菜鸟一般都表述不清,根据报告也无法判断。
2、没有扫描到计划任务。现在还没有出现加载到计划任务的流氓软件,但加载到计划任务的病毒早就有了――“布朗特克 Worm.Brontok病毒”。
补充:
关于sreng日志中的vax347b.sys和vax347s.sys

SRENG2.5版日志中可见:

[vax347b / vax347b][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\vax347b.sys><>


[vax347s / vax347s][Running/Boot Start]
  <\SystemRoot\System32\Drivers\vax347s.sys><>

经查,vax347b.sys和vax347s.sys这两个文件是虚拟光驱软件Alcohol 120%的驱动程序。
某类病毒驱动文件的一些特征

i都是加载在c:\windows\system32\drivers下
ii百度搜索不到
iii没有通过微软签名认证
iv小写


具体案例
1:延续了my123随机文件的一贯算法:
6位随机英文字母+2位数字。
例如C:\WINDOWS\system32\drivers\dtsghf06.sys
新发现一例:1个数字+3个英文字母+1个数字+3个英文字母

2:全数字
例如C:\WINDOWS\System32\drivers\81562.sys

3:8位随机英文字母
例如C:\WINDOWS\system32\drivers\ccajcdhi.sys

4:四位随机英文字母+下划线+随机英文字母
例如C:\WINDOWS\system32\drivers\gwcd_l.sys

5:两位随机英文字母+下划线+三位随机英文字母
C:\WINDOWS\system32\drivers\iy_ovn.sys
良民驱动

借鉴老崔的思路,收集一些良民驱动( 4月30日更新)
[3WAREDRV / 3WAREDRV][Stopped/Boot Start] 
<\SystemRoot\System32\DRIVERS\3WAREDRV.SYS><N/A> 
[3WAREGSM / 3WAREGSM][Stopped/Boot Start] 
<\SystemRoot\System32\DRIVERS\3waregsm.sys><N/A> 
[3WDRV100 / 3WDRV100][Stopped/Boot Start] 
<\SystemRoot\System32\DRIVERS\3WDRV100.SYS><N/A> 
[ATSpy / ATSpy][Stopped/Manual Start]
<\??\C:\WINDOWS\System32\ATSpy.sys><N/A>     金山
[KRegEx / KRegEx][Stopped/Manual Start] 
<\??\C:\WINDOWS\system32\drivers\KRegEx.sys><N/A>    
金山
[EagleNT / EagleNT][Stopped/Manual Start]
   <\??\C:\WINDOWS\system32\drivers\EagleNT.sys><AhnLab, Inc.>              这个真的确定了很久
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[QuakeDRV / QuakeDRV][Running/Boot Start] 
<\SystemRoot\system32\DRIVERS\quakedrv.sys>    
[dump_wmimmc / dump_wmimmc][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\dump_wmimmc.sys><N/A> 
[Secdrv / Secdrv][Running/Auto Start]
   <system32\DRIVERS\secdrv.sys><Macrovision Europe Ltd>
[SmartLinkService / SLService][Running/Auto Start]
<slserv.exe><>     制解调器连接相关程序  
[Lenovo file protect service / fsp]
<C:\WINDOWS\fsp.exe><N/A>                           联想   
[Lenovo auto login helper / usblogon]
<C:\WINDOWS\usblogon.exe><N/A>                       联想
[kmsinput / kmsinput][Stopped/Manual Start] 
<\??\C:\WINDOWS\system32\drivers\kmsinput.sys><N/A>         腾迅反外挂相关程序
[PnpWmkDrv / PnpWmkDrv][Stopped/System Start]
<\??\C:\WINDOWS\system32\drivers\PnpWmkDrv.sys><N/A>    完美卸载
[gwiopm / gwiopm]
   <\??\C:\Program Files\Wom\gwiopm.sys><N/A>     优化大师
<domino><C:\WINDOWS\domino.exe> 摄像头驱动
<VMSnap1><C:\WINDOWS\VMSnap1.exe> [Vimicro]    摄像头驱动
hostnt.sys 灰狗的驱动
http://www.ygsoft.com/user/ZT000015.htm

=========================================================
下面是摘录
http://www.ygsoft.com/user/ZT000015.htm
灰狗驱动程序的卸载

1、点击"开始/运行"菜单, 在弹出操作窗口中,键入"Regedit"命令;

2、打开注册表, 选择HKEY-LOCAL-MACHINE下的SYSTEM下的CURRENTCONTROLSET下的SERVICES,在其下面找到HOSTNT和MHDRV,然后单击鼠标右键,选删除。

3、删除c:\winnt\system32\drivers下的三个文件hostnt.sys,mhdrv.sys,ioctlvdd.dll
=================================================
下面是摘录
http://www.file.net/prozess/hostnt.sys.html
hostnt.sys file basically check for the User login keywords instead of checking it from authentication server
Saif Saeed 
Rate
It is a part of drivers for some software dog, Graydog is one of them.
Enfor 
Rate
Driver for Softwaredog SaftNet China
(weitere Info's)

你可能感兴趣的:(职场,扫描,休闲,SRENG)