常见病毒查杀重点.docx
《常见病毒查杀重点.docx》由会员分享,可在线阅读,更多相关《常见病毒查杀重点.docx(13页珍藏版)》请在冰点文库上搜索。
常见病毒查杀重点
第一章常见病毒查杀
1.1U盘病毒的运行原理及防治方法
常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。
目前,各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使系统感染。
病毒组成:
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
1.1.1U盘病毒原理
U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行。
有些资料认为Autorun.inf是最典型的中层病毒,是一个主病毒的第一级执行文件,本身INF是不会称为病毒而被任何一款杀毒软件查杀的,但单纯的在U盘类盘中是有可能杀掉的!
在Autorun.inf出现的初期,是软硬件生产厂家为了更好的介绍自己的产品或者为了使用户更易使用产品而设置的自引导文件,后来才被病毒制作者利用。
现在大部分以只读光盘为载体的软件产品依然使用Autorun.inf,但是由于只读光盘的不可写性,只要第一次刻录没有写入病毒,使用者并不会以它传播病毒。
autorun.inf是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。
其文档格式为:
[autorun]
open=病毒.exe(这个是让U盘被双击自动运行时打开病毒.exe)
icon=*.icon(如果有图标文件*.icon,则U盘的盘符显示出该图标.)
u盘病毒就是利用这种方式来在用户不知情的情况下双击盘符打开u盘时是系统中毒的,而病毒主体实际上也是隐藏在u盘中.
1.1.2U盘病毒防范
U盘病毒的感染,一部分是用户去点击运行U盘上的可执行文件感染的,另一部分是由于移动存储设备插入时启用了自动播放而感染的。
所以,要防止U盘病毒的再感染,有必要限制移动存储设备的自动播放功能。
使用组策略一次性全部关闭自动播放功能:
1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;
2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;
3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。
在“用户配置”中同样也可以定制这个“关闭自动播放”。
但“计算机配置”中的设置比“用户配置”中的设置范围更广。
有助于多个用户都使用这样的设置。
在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开,一般就会出现一些隐藏的文件,打开autorun.ini文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭autorun.ini文件,并且删除它,退出U盘。
使用U盘注意事项:
1、当别人将U盘插入自己的电脑,默认自动运行打开,当出现操作提示框时,不要选择任何操作,直接关掉;
2、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。
千万不要直接点击U盘的盘符进去,否则可能会立刻激活病毒;
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,以便U盘被感染后能及时发现病毒。
;
4、对于有些u盘病毒,格式化也不能清除,所以,日常使用时,尤其是去公共场合使用回来后,应及时执行检测和杀毒工作。
1.2同名文件夹EXE病毒
木马名称:
Worm.Win32.AutoRun.soq
文件夹exe病毒,它是以"文件名.exe"的形式出现的,而这种病毒的传播方式主要表现为:
打开盘符后,病毒不断同名复制原文件夹,并以".exe"结尾,把原文件隐藏,欺骗用户去点击,从而导致用户重招,并不断复制传播,感染其他文件夹。
1.2.1病毒原理及相关分析
病毒运行后会在系统的C:
\WINDOWS\SYSTEM32\文件夹里创建一个随机名文件夹,再在此随机名文件夹内注入一个随机名的******.exe文件。
然后在“C:
\DocumentsandSettings\当前用户名\「开始」菜单\程序\启动\”文件夹内创建一个“.lnk”快捷方式,指向那个系统目录里注入的******.exe文件。
借系统的启动文件夹来开机自启动。
此快捷方式文件名是空格的。
同时此毒运行后,监控U盘等移动存储设备,向移动存储设备的根目录写入(并不是不停的写入,它只在U盘插入后写一次):
Autorun.inf
Notepad.exe
这两个文件,借助U盘传播,借助系统的自动播放来启动。
同时该病毒还搜索U盘内的所有根目录下的文件夹,创建与这些文件夹同名的病毒自身文件,外型也使用的文件夹图标,并将盘内原文件夹的属性修改为隐藏的、系统的属性。
一般用户的系统是默认不显示系统文件以及隐藏文件的,所以看不到变化。
同时还因为一般用户的系统默认不显示文件扩展名,所以也不会注意到同名的模仿文件夹的病毒所带的扩展名.exe
所以大多数用户会直接去双击此模仿的文件夹而启动此毒,而这毒在被双击后,除了自身运行外,还执行在同目录内搜索打开与自己同名的文件夹,以帮助使用者打开需要的原真实文件夹,所以一般人不注意。
在U盘中自动生成同名文件夹.exe文件,把原来文件夹隐藏掉
开始菜单里“启动”项里发现病毒启动项:
进程里边发现可疑进程:
病毒行为:
1、病毒运行后会释放以下文件:
com.rundp1.fneeAPI.fneinternet.fnekrnln.fnrog.dllog.edtRegEx.fnrfnespec.fneul.dllXP-290F2C69.EXE(后8位随机)(其中com.rundp1.fneeAPI.fneinternet.fnekrnln.fnrRegEx.fnrfnespec.fne等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面
2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值:
XP-290F2C69(后8位随机)
类型:
REG_SZ
值:
C:
\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)
3、添加以下启动项,实现病毒自启动:
“C:
\DocumentsandSettings\Administrator\「开始」菜单\程序\启动”里的“ .lnk”指向病毒文件。
4、下载病毒文件:
hxxp:
//df-字节)保存为以下文件,并且运行它们:
%Windir%\System32\winvcreg.exe
%Windir%\System32\2080.EXE(名称随机)
5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒,以达到病毒随移动磁盘传播的目的。
1.2.2、解决方法
专杀清除方法:
USBCleanerV6.0下载
文件夹类病毒专杀工具
手工清除方法:
1、结束病毒进程。
任务管理器中终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2008.exe(随机名)。
2、删除病毒在System32生成的以下文件:
com.rundp1.fneeAPI.fneinternet.fnekrnln.fnrog.dllog.edtRegEx.fnrfnespec.fneul.dllXP-290F2C69.EXEwinvcreg.exe2008.EXE(随机名)
3、删除病毒的启动项,删除以下启动项:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-**.EXE(后8位随机)及“C:
\DocumentsandSettings\Administrator\「开始」菜单\程序\启动”里的“.lnk”。
4、显示移动磁盘里隐藏的原有文件夹,方法是:
我的电脑右键打开工具--文件夹选项--查看--取消"隐藏受保护的操作系统文件"前的勾,以及选择"显示所有的文件和文件夹"确定,并删除以文件夹图标为图标的exe病毒文件。
1.2.3、安全建议
养成良好习惯:
1、用右键打开U盘或文件夹,查看文件夹属性,初步判定病毒的危险是否存在。
2、经常调出任务管理器(CTRL+ALT+DEL),查看系统进程,结束异常的进程。
3、在每天关机前进行一番清理,可以用360安全卫士,windows清理大师,金山全能助手等清理软件工具。
4、开启USBCleaner的Usbmon.exe保护程序,可以单独下载个usbmon.exe,另外开启360实时保护,这个牺牲内存为代价的,实时保护占用内存,对于机器配置差的朋友这种方法不推荐。
5、使用组策略一次性全部关闭自动播放功能。
6、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,这样可以及时发现隐藏的病毒。
1.3六位随机字母U盘病毒
该病毒属于U盘病毒,插上U盘后电脑自动生成六位随机字母.exe,分布在system32下的随机字母文件夹里。
病毒在系统目录C:
\WINDOWS\system32文件夹里创建如下三个随机名文件夹,并在里面塞入不少文件:
查杀方法:
1、任务管理器关掉相关进程特点:
进程全为数字或者数字和大写字母杂乱结合的为病毒进程;eg:
87AA35.exe终止掉就可以了;
2、所有程序---启动可以发现病毒的程序删除掉;
3、进入目录C:
\WINDOWS\system32删掉隐藏的病毒文件一般为四个特点:
多为隐藏的数字形式
4、开始--运行--msconfig--禁用病毒启动项
1.4ARP病毒原理及解决方法
ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。
该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
ARP病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。
1.4.1中毒症状
ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现像,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
1.4.2原因分析
局域网内有人使用ARP欺骗的木马程序(比如:
传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
1.4.3ARP协议解析
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机IP地址MAC地址
A192.168.16.1aa-aa-aa-aa-aa-aa
B192.168.16.2bb-bb-bb-bb-bb-bb
C192.168.16.3cc-cc-cc-cc-cc-cc
D192.168.16.4dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:
“192.168.16.2的MAC地址是什么?
”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:
“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。
对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。
如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。
这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。
因为A和C连接不上了。
D对接收到A发送给C的数据包可没有转交给C。
做“maninthemiddle”,进行ARP重定向。
打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。
不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。
不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。
现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
1.4.4解决方法
1、清空ARP缓存:
大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。
一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。
若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:
第一步:
通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入命令行模式;
第二步:
在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;
第三步:
使用arp-d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。
如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。
但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。
2、指定ARP对应关系:
其实该方法就是强制指定ARP对应关系。
由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:
我们假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。
指定ARP对应关系就是指这些地址。
在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;
第二步:
使用arp-s命令来添加一条ARP地址对应关系, 例如arp-s192.168.2.100-14-78-a7-77-5c命令。
这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了;
第三步:
因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。
所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:
bat)中,然后将这个文件放到系统的启动项中。
当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了。
ARP命令格式:
ARP-s-d-a
-s——将相应的IP地址与物理地址的捆绑。
-d——删除所给出的IP地址与物理地址的捆绑。
-a——通过查询Arp协议表来显示IP地址和对应物理地址情况。
3、添加路由信息应对ARP欺骗:
一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢。
只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。
第一步:
先通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd命令行模式;
第二步:
手动添加路由,详细的命令如下:
删除默认的路由:
routedelete0.0.0.0;添加路由:
routeadd0.0.0.0mask0.0.0.0192.168.100.1metric1;确认修改:
routechange此方法对网关固定的情况比较适合,如果将来更改了网关,那么就需要更改所有的客户端的路由配置了。
4、安装360安全卫士,开启ARP防火墙功能:
一般情况下开启360ARP防火墙功能能有效防范ARP攻击事件,并且还可以追踪到攻击源,先把攻击源的那台主机断网,然后针对攻击源主机进行病毒查杀,运行清理助手或者杀毒软件进行扫描清除恶意插件和病毒。
5、安装杀毒软件:
安装杀毒软件并及时升级,另外可以使用网络版的防病毒软件,例如NOD32网络套装(带防火墙功能)可以有效的防范ARP攻击。
6、使用ARP类专杀工具查杀:
下载并安装ARP病毒攻击免疫补丁、木马病毒查杀软件。
1.4.5ARP病毒防范措施
1、做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
2、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows系统的自动播放功能的方法:
在运行中输入gpedit.msc后回车,打开组策略编辑器,依次点击:
计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
3、在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。
4、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
5、部署NOD32网络版的杀毒软件,定期升级病毒库,定期全网杀毒。
6、安装360安全卫士,开启ARP防火墙。
升级会员 