最近“帕虫”(瑞星),AV终结者(金山命名)蛮流行的,其实就是7、8位字符病毒。我们民间的菜鸟管它叫“随机字母、数字病毒”。貌似反病毒论坛每天都有人因为这个病毒求助,我也跟该病毒打过几次照面了,觉得没什么特别的,现在将它们病毒的技术做简单介绍,并附上几个破解方法。
Autorun.inf
一个暗藏杀机的文本格式,以至于有些杀软都加入病毒库,传播U盘病毒的罪魁祸首,很多情况下我们把它视为敌人,如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。
关闭自动播放功能:计算机配置—管理模板—系统—停用自动播放—设置为“已启用”—选上所有驱动器—确定,至于Autorun.inf,可以下载U盘免疫工具。
线程插入
全名叫“远程创建线程”。这样的病毒通常是Dll格式的文件,可能依附 系统服务\EXE载体\Rundll32.exe\注册表插入进程。那么除非用第三方工具,否则无法发现宿主内的dll病毒,因为进程管理器里毫无异常。这种技术在木马界应用非常广泛,具有一定的隐蔽性。8位字符病毒就是利用这个技术,使得无法在进程里直接发现,给查杀工作带来难度。
我们可以下载第三方工具,可以查看进程模块的,推荐用冰刃。主要检测Explorer进程模块,该进程是木马常聚集的场所,应当特别留意。最好可以配合SREng日志查看,那样会更容易辨认。
另:增强版的冰刃该病毒并无法关闭,同时IFEO劫持亦无效。
IFEO重定向劫持
最近被滥用的技术,在知名的安全工具就Autoruns能追踪到(新版本的SREng同样具有IFEO检测能力),为此我还曾写过一篇防御方法。可惜的是并没有人愿意去看```
IFEO其实是位于注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
下的Image File Execution Options(简写为IFEO)
这个项主要是用来调试程序(防止溢出),一般用户根本用不到。默认是只有管理员和local system能读写修改。假设在这个项新建个“Filename.exe”,键值为Debugger,指向的是另一个程序(virus.exe)路径的话,那么运行A程序的时候,会执行B,这就是重定向劫持。
打开注册表,展开到IFEO,设置权限,只读不允许写入就可以了。(如果程序运行提示找不到的话,不妨改个名字试试)
HOOK
这个是类似于“监听”的技术,翻译意思为“钩子”,我遇到的一个变种使用的是WH_CALLWNDPROC钩子,由常驻进程的8位随机数字.dll释放的钩子,通过拦截一些敏感的信息并在程序调用中做了修改。不过它并不是修改信息,而是直接关闭一些过滤的“关键字”。
直接删掉对应的Dll病毒就可以了,一般用SREng日志可以检测出来。
轻松玩转AV终结者病毒
内容版权声明:除非注明,否则皆为本站原创文章。