|
|
发表于 2007-10-25 10:37:36
|
显示全部楼层
来自: 中国四川成都
计算机USB接口病毒揭密和清除
同意楼上的处理方法,同时贴上- X$ S# D, u' | t
摘要 本文通过研究和分析计算机USB接口病毒程序特征、作用原理和侵入途径,利用编程工具Delphi进行程序设计,编写反病毒程序,实现对这种病毒的自动检测和清除。病毒和反病毒是相生相克的一对矛盾,属于当今计算机领域的前沿热门课题,通过该程序的设计与实现,自己动手清除病毒,彻底消除对病毒的神秘感和恐惧感。
8 w- {& v' e1 x; j/ c6 G. O9 F7 V1 q& Z; j" i$ u) A9 j
关键词 UBS接口,Autorun.inf,病毒揭密,清除程序. z& ^' N( w; Z
+ n/ h% h, m7 V5 D, J7 Y* N" `; v; E% Z2 x
& Z3 E4 C3 }$ t! d' I! B
一、 主要病毒类型' B7 R& K7 K1 C( ?2 t) k
1 b4 l5 w0 y/ c9 R9 Z
据有关资料报道和业内人士称,病毒实际上就是人为编写的恶性程序。 根据病毒特有的算法,病毒又可以划分为伴随型病毒、蠕虫病毒等。
' d6 M* k1 h8 c9 Z9 d: A
6 V) D: |; a8 ?无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。
1 S* C7 O2 L& i9 z _1 |) [- s& s& i; m b
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及异常音响。: x/ z# `+ C x" \( s( w- |
}0 q% R2 ?. E& ?+ d7 \
危险型:这类病毒在计算机系统操作中造成严重的错误。9 T3 Y! {: W* U7 f" G: {
7 i: N/ |; q$ a$ s/ s, U
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。) ?# B9 D4 x, f: {- l' Y
. ?4 f/ C* w" i; \% X! U在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对计算机系统的直接破坏作用,比如格式化硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒,其实这些只是病毒劣迹的一部分,随着计算机应用的发展,人们深刻地认识到凡是病毒都可能对计算机及系统造成严重的破坏。主要表现在如下方面: 病毒激发后对计算机数据信息的直接破坏作用; 占用磁盘空间和对信息的破坏;抢占系统资源;影响计算机运行速度,病毒进驻内存后不但干扰系统运行,还影响计算机速度;计算机病毒给用户造成严重的心理压力。. c8 ?$ {' f& \, G
4 G5 |; S& D3 a二、 USB接口病毒作用特征
- w$ T, U8 l. {8 v0 T4 K# p& @1 [7 b- K" N; v6 h+ k6 k: o; W! t4 o; k, G
USB是“Universal Serial Bus”的缩写,意思是“通用串行总线”, 是电脑系统接驳外围设备(如U盘,活动硬盘、键盘、鼠标、打印机等)的输入/输出接口标准。现今用此种总线连接的设备非常多,使用极为广泛,USB接口病毒最大的特征就是利用USB接口这一特性而感染计算机的, 通过运行磁盘根目录下的Autorun.inf文件来激活。随着USB设备具有移动性和使用上方便性,使得这类病毒传播起来速度非常之快,也正因为如此,USB接口病毒种类和变种较多。
! x1 d% ^" a6 U. Y R+ t: u( f" P) h1 F9 S2 c
本程序在充分了解和分析了USB接口病毒的作用原理的基础上设计出专杀工具,达到清除病毒的目的。
8 o% O& L/ ?" d7 B# t! s1 g3 T0 H; o% y& v& p& V7 N
三、 流程及步骤:
! T$ @) _: Y# i' ?
! ~' H" Y: f8 M2 i$ q实现该程序的关键是寻找病毒样本(受感染的U盘或计算机),观察受U盘病毒感染的磁盘和计算机病态特征,通过阻断、设立陷阱、注册表监控等方法,分析和总结USB接口病毒等症状和激发条件,在弄清作用原理和机制的基础上,应用编程工具,设计出清除实验对象(病毒)的专用程序,从而完成设计目标。整个设计主要步骤如图1所示。* V# R/ z6 P2 k f- Q
图1 病毒处理流程图! @/ E0 ^0 F+ D8 |5 F
其中各部分的主要含义如下:
* M' _0 O# W/ k3 k0 k1. 搜集安全信息" S. _; k. T- @ {6 M
通过受感染的计算机在第一时间收集最新的安全信息。同时也访问一些安全网站、安全论坛等进行沟通交流,将这些途径作为辅助手段,尽可能获得相当多安全信息。同时还要了解微软Windows操作一些使用常识和安全漏洞,它们也是信息收集工作的重点之一,因为如今的U盘病毒也是利用操作特点和漏洞进行传播攻击的。在掌握了第一手安全信息资料后,需要马上做好记录,并立即考虑处理方案。
( W! m+ d( Z# K7 c$ Y1 J2.搜集病毒样本
. G- s( u" U8 p+ w2 j8 }收集样本要通过很多途径,可以通过受感染的计算机来收集,也可向计算机用户提出请求,索取病毒样本,还可访问一些与病毒相关的论坛,查看各种相关的帖子和网页,或者通过我们为病毒设置的陷阱。另外,收邮件也是获得样本的重要途径。
0 M) N/ X7 e0 V7 Y3.病毒样本鉴别
5 m6 ^: R! |% F; Z/ L: a2 G获取样本后自然是鉴定,鉴定主要依靠病毒表现特征,判断可疑程序究竟是什么性质,如果是恶意的,那么就定义为病毒或者木马。这对有经验的用户来讲,有些类型凭经验就可鉴别,还可借助专用的工具和特殊的流程来实现。
0 \7 {0 f& `) A& ^* N4.病毒特征分析5 K( V1 W5 A i* E8 P
当定性为病毒过后,接下来就是对病毒进行分析,判定危害级别,并且进一步分析病毒的作用机制,包括对Windows注册表控制、进程、驻留方式、反清除(删除)能力等。这有利于后一步程序设计,使编写程序有的放矢地针对某个病毒开发出清除模块。5 y* S5 A& P d. L: K T
5.清除程序设计* C7 O( M" m: p
根据已经掌握病毒样本,针对不同病毒特征和作用机制,利用编程语言设计与开发相应的程序模块和代码编写,并在设计过程中和模块建立后进行效果检验与测试。! ~! _& s0 x# U# W( Y$ A1 M! F
. H+ y; S2 I, F% c' B8 q/ s四、 病毒特征分析
, r- t0 S! y7 Q$ w6 @. _; c2 z: i7 y* Q- A
目前U盘病毒种类和变种较多,选择了其中3种具有感染频率高,危害较大的种类作为此次程序设计的主要研究对象。
! `0 Y! s% G$ h& C0 B; d+ ^) a. I8 D: O+ A* H5 r- N5 X1 g
这三个对象是:RavMonE.exe病毒、Sxs.exe病毒和Vbs病毒。它们都是当今U盘病毒类型中高感染率类型,其中RavMonE.exe病毒是被认出现最早的USB病毒,Sxs.exe病毒是感染率较高且不易清除的一种病毒,而Vbs病毒是公认变种(变型)最多的病毒之一。- R- L& y" X$ }9 j9 @( \
/ p* i* n6 d1 f" L$ E
对多台受U盘病毒感染的计算机做多次实验分析,通过阻断、设立陷阱、进程控制和注册表观察等方法,分析和总结了USB接口病毒等症状和传染激发条件,基本弄清了上述三种病毒的判别特征和作用机制,揭示UBS接口病毒发作及危害的本质。详细解释如表1所示。
. s$ T9 g# N2 V4 z8 [5 s5 }! i: h# v2 ]0 R! m- Y
1. 病毒判别特征
: o) V/ ]/ t! @6 Z& n) H
, c5 l) K, |# q. H表1 U盘RavMonE病毒/Sxs病毒/Vbs病毒特征; x$ O+ \* X" w/ m# f/ t
7 f+ ^9 S5 P/ ^: E5 H" G8 o" P( h病毒名称 病毒特征 感染途径与危害机制 样本数(U盘)' S8 f; ?5 C2 F7 u- G% s
7 r& |8 R* E4 q0 y4 {RavMonE.exe ①RavMonE.exe是最早的USB接口病毒,在U盘、移动硬盘上传播。( Y8 o$ L7 X9 J+ w
; G& |0 P4 Z# b+ i+ o4 p# P
②该病毒由如下文件组成:Autorun.inf、Msvcr71.dll、RavMonE.exe和RavMonLog,当用户双击U盘盘符,会激活Autorun.inf病毒,并随用户操作磁盘自动加载RavMonE.exe,中毒之后,计算机识别U盘时会极为缓慢,且病毒又会传染给别的U盘,单看文件名就可判定这是病毒RavMonE.exe,企图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe。% d' U8 T; e& {/ u
( y1 k) M2 {( d# `- D③计算机初级用户若不在意会误以为:RavMonE.exe也是正常程序文件。7 u3 Y5 M1 W; y, U" n
7 C8 K7 G+ k4 Y" x! @
①修改注册表
2 r& K8 q0 B0 ~# E# [ G. v( z7 d W2 V6 M6 g- R6 A& D% S! E& r" n; H
②进程控制7 L# h2 r1 J1 l& j3 M1 R1 b, r
+ n2 s: [, N) r/ d
③利用磁盘根目录下的Autorun.inf文件实现自启动: s* [% K8 i) ^" j
T1 a2 j- z i4 H5 y& q2 T④文件自我复制到Windows和System32目录
5 Q3 \, t8 h% `- t1 X9 F5 {9 J( X9 }' U
30# J8 B9 H$ F, F' L# h! y: o
: G6 {# V/ r5 Z4 ISxs.exe ①该病毒在每个盘根目录下自动生成Sxs.exe,Autorun.inf文件,有的还在Windows\System32下生成Svohost.exe 或 Sxs.exe 。; }. Z2 t- u, l2 _
0 k+ g9 C3 T$ V②所有病毒文件属性为隐藏属性。自动禁用杀毒软件。主要通过U盘,移动硬盘传播。
u+ N+ n( O- K3 P/ S3 Q4 u( m) O, g. J5 O* j) n9 V
③按Ctrl+Del+Alt查看进程,可能多出一个Svohost进程,它与系统自带的Svchost只差一字,具有很强迷惑性!
% |" E0 T0 c4 e0 q2 Q; g m/ v6 t+ ^. \* y$ h. C/ t6 z
③识别时,按Ctrl+Del+Alt查看进程,可能多出Svohost进程! ①修改注册表 B' k( \+ T; ~% H" U9 `9 V
8 o" @ t; ~* Q; G* _②隐藏进程4 ~+ \% N, Z; p5 F& ^
3 X$ ]0 u, {: o! h7 y* ~+ s# T
③利用磁盘根目录下的Autorun.inf文件实现自启动
$ W' S; H- I# ?+ {- v# |" b/ q9 F2 i
④病毒文件自我或多目标复制3 ~9 w3 f0 o2 A+ n3 {. i
$ ~; _" K$ O8 `% f) A
Vbs ①双击盘符无法打开,显示缺少Autorun.vbs,无论双击哪个盘的图标,系统都会重新打开一个窗口。
# ]$ _" T" @0 D4 J: R2 O0 ^. _7 c }; ^9 e: v7 }* s
该病毒主要通过U盘感染,中毒现象表现为主机不停的发出声音,类似于读软盘的声音,打印机无法正常工作且驱动无法安装。2 Y, j% u: f; T3 M+ |' L" ]
) p0 A* Y3 z, U5 x/ Z
②按Ctrl+Del+Alt查看进程,如多出至少一个Wscript.exe进程,表明可能已中此毒。
, ^( s& K$ h# {8 c* ~5 g2 r. m) ^. V
8 T% n( Z: a6 o5 ~③中毒后Windows或Windows\System32目录和各磁盘根目录下,会多出7个文件:Autorun.bat Autorun.vbs Autorun.bin Autorun.inf Autorun.txt Autorun.reg Autorun.wsh6 W: S7 N8 e+ q$ s/ ?. I9 F
: G L0 Y9 L" Y/ H# C ]①修改注册表
3 u- Q6 i$ Q1 z) X4 @, a8 a3 V% k: `5 b: m
②隐藏和产生新进程Wscript.exe) S# _) \3 R+ Y
H" o! d0 D- K ?$ r4 I
③利用磁盘根目录下的Autorun.*多个文件关联实现自启动和自保护4 E @+ v ^& O; B& I+ F" S4 g
' m% f/ D E ?, v+ p- o
④病毒文件自我或多目标复制。
7 _" j* b2 S# _2 F. z2. 感染途径 |
评分
-
查看全部评分
|
