教你有效應對Rootkit(核心型)病毒

來源:互聯網
上載者:User

此類病毒的特點是病毒檔案為兩個或多個,一個是副檔名為EXE的可執行類型檔案,一個是副檔名為SYS的驅動類型檔案。EXE可執行檔為傳統的蠕蟲模組,負責病毒的產生、感染、傳播、破壞等任務;SYS檔案為Rootkit模組。

Rootkit也是一種木馬,但它較我們常見的“冰河”、“灰鴿子”等木馬更加隱蔽,它以驅動程式的方式掛入系統核心,然後它負責執行建立秘密後門、替換系統正常檔案、進程隱藏、監控網路、記錄按鍵序列等功能,部分Rootkit還能關閉殺毒軟體。

目前發現的此類別模組多為病毒提供隱藏的機制,可見這兩類檔案是相互依賴的。既然病毒已經被隱藏了,我們從何處入手發現病毒呢?這裡就以感染orans.sys蠕蟲的電腦為例,探討如何檢測和查殺該類病毒。

檢測病毒體檔案

Norton防毒軟體報告c:\windows\system32\orans.sys檔案為Rootkit型病毒,這裡可以看到使用Rootkit代碼的SYS檔案是無法逃過殺毒軟體檢測的。那麼是否刪除了該檔案就能清除病毒呢,答案是不行的。

首先在染毒的系統下該檔案是受保護的,無法被刪除。即使使用者在安全模式下刪除了檔案,重新啟動後,另外一個未被刪除的病毒檔案將隨系統啟動,並監控系統。

一旦其發現系統的註冊表被修改或病毒的SYS檔案遭刪除,病毒就會重建該檔案並改回註冊表,所以很多時候我們會發現病毒又重生了。因此需要同時找到這兩個檔案,一併處理。但在受感染的系統中,真正的病毒體已經被Rootkit模組隱藏了,不能被殺毒軟體檢測到。

這時就需要從系統中的進程找到病毒的蛛絲馬跡。系統內建的工作管理員缺少完成這一任務的一些進階功能,不建議使用。這裡向大家推薦IceSword或Process Explorer軟體,這兩款軟體都能觀察到系統中的各類進程及進程間的相互關係,還能顯示進程映像檔案的路徑、命令列、系統服務名稱等相關資訊。

在分析過程中不僅要留意陌生的進程,一些正常系統進程也要仔細檢查,因為病毒常以子進程插入的方式將自己掛到系統正常進程中。在IceSword軟體中以紅色顯示的進程為隱藏進程,往往是核心型木馬的進程。

連接埠分析也是一種常用的方法,因為病毒常開啟特殊的連接埠等待執行遠程命令,部分病毒還會試圖串連特定的伺服器或網站,通過進程與連接埠的關聯,檢測到病毒進程。

在上面的例子中我們通過比對正常啟動並執行系統和染毒系統很快就判斷出系統中的restore進程為異常進程,該進程的映像檔案為c:\windows\restore. exe,這樣我們就找到了病毒體檔案。而當找到這個檔案時,發現Norton沒有警示,可見病毒檔案躲過了殺毒軟體。

進一步分析還發現病毒在系統中添加了一項服務,服務名稱為“restore”,可執行檔路徑指向病毒檔案。

手工清除病毒

1.關閉系統還原功能,按右鍵“我的電腦”,選擇“屬性”,在“系統屬性”中選擇“系統還原”面版,勾選“在所有磁碟機上關閉系統還原”,關閉系統還原功能。

2.重新啟動電腦進入安全模式,在“控制台”→“管理工具”中單擊“服務”,病毒在這裡添加了“restore”服務,將該服務禁用。

3.手動刪除c:\windows\ restore.exe和c:\windows\ system32\orans.sys兩個病毒檔案。

4.運行註冊表管理器regedt32. exe,尋找註冊表病毒添加的表項。在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\

三個分支下發現病毒添加的 “orans.sys”和“restore” 登錄機碼,刪除該表項。

5.重啟動系統到正常模式,開啟系統還原功能,並為系統安裝補丁程式。

這類病毒的變種很多,從病毒產生的可執行檔到註冊的系統服務、傳播及危害方式都有所不同,這裡主要提供一個思路,大家在遇到時能找准根源解決問題。另外這類病毒多數是利用作業系統的漏洞或猜解管理員的口令入侵的,有些病毒還能同時利用多個漏洞,逐一嘗試。

因此大家要充分意識到打補丁的重要性,同時避免空或弱的管理員口令,降低破壞入侵的機會。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。