|
|
发表于 2007-10-25 10:37:36
|
显示全部楼层
来自: 中国四川成都
计算机USB接口病毒揭密和清除
同意楼上的处理方法,同时贴上
3 k& V% @6 H9 P5 k+ S: t7 o+ m摘要 本文通过研究和分析计算机USB接口病毒程序特征、作用原理和侵入途径,利用编程工具Delphi进行程序设计,编写反病毒程序,实现对这种病毒的自动检测和清除。病毒和反病毒是相生相克的一对矛盾,属于当今计算机领域的前沿热门课题,通过该程序的设计与实现,自己动手清除病毒,彻底消除对病毒的神秘感和恐惧感。, ~- S" ~' |8 e6 R
' Z' x8 K* M0 [2 x9 H! |关键词 UBS接口,Autorun.inf,病毒揭密,清除程序
; K! o0 G6 W, |" S& h! Y5 l. K9 O8 D+ P9 ]' U3 o
$ B x0 q; [, R$ V o! U3 x, u! T& f" l0 c4 V% K5 g3 f% B
一、 主要病毒类型" k5 Y) p r# m) G/ x; O# N, S
7 ]7 n8 l6 y. f. Q7 f) s- ?
据有关资料报道和业内人士称,病毒实际上就是人为编写的恶性程序。 根据病毒特有的算法,病毒又可以划分为伴随型病毒、蠕虫病毒等。 0 O+ U, s! u% J/ p) ^& p+ q8 E6 i
& E' ]9 W$ s( U' H4 X无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。
. x; ?2 z* z& y% ?+ r* `. `+ r1 o0 o! ]5 Y* O) B( v! H
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及异常音响。
- g) W0 J$ b2 W5 D% i1 k
9 V- W P- S4 P危险型:这类病毒在计算机系统操作中造成严重的错误。2 S" w4 Q2 a9 m# k8 u
9 _! Y2 x3 u/ _6 X非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。- u/ r8 e5 z$ p& }2 q
) a7 U) M4 H( Z6 ~
在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对计算机系统的直接破坏作用,比如格式化硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒,其实这些只是病毒劣迹的一部分,随着计算机应用的发展,人们深刻地认识到凡是病毒都可能对计算机及系统造成严重的破坏。主要表现在如下方面: 病毒激发后对计算机数据信息的直接破坏作用; 占用磁盘空间和对信息的破坏;抢占系统资源;影响计算机运行速度,病毒进驻内存后不但干扰系统运行,还影响计算机速度;计算机病毒给用户造成严重的心理压力。6 m. Q" A/ h& \4 A( i& u6 n
8 J: U) M3 v3 N7 R9 \; ~' v- G二、 USB接口病毒作用特征4 C3 j8 f9 G" H2 Q, r, t
+ ^5 l% a4 h0 v: U, c8 `
USB是“Universal Serial Bus”的缩写,意思是“通用串行总线”, 是电脑系统接驳外围设备(如U盘,活动硬盘、键盘、鼠标、打印机等)的输入/输出接口标准。现今用此种总线连接的设备非常多,使用极为广泛,USB接口病毒最大的特征就是利用USB接口这一特性而感染计算机的, 通过运行磁盘根目录下的Autorun.inf文件来激活。随着USB设备具有移动性和使用上方便性,使得这类病毒传播起来速度非常之快,也正因为如此,USB接口病毒种类和变种较多。; @. y) e7 }4 M) a. `" {1 _
& `* A* v# j( Y4 i) P( c% {6 s
本程序在充分了解和分析了USB接口病毒的作用原理的基础上设计出专杀工具,达到清除病毒的目的。# O; J, |8 q C% |( c6 t
8 p! M# s5 m% Z' r) b1 r
三、 流程及步骤: { W$ m1 `) O: a+ G! C% o+ R
* |& } x4 H$ o4 k. Z实现该程序的关键是寻找病毒样本(受感染的U盘或计算机),观察受U盘病毒感染的磁盘和计算机病态特征,通过阻断、设立陷阱、注册表监控等方法,分析和总结USB接口病毒等症状和激发条件,在弄清作用原理和机制的基础上,应用编程工具,设计出清除实验对象(病毒)的专用程序,从而完成设计目标。整个设计主要步骤如图1所示。
) Q9 ~% \4 U% O- h) a图1 病毒处理流程图
" X9 W; ?% ], g5 }其中各部分的主要含义如下:
- R/ o5 N6 w! z j" e1. 搜集安全信息
. i" M# e. V1 @+ f6 [5 {通过受感染的计算机在第一时间收集最新的安全信息。同时也访问一些安全网站、安全论坛等进行沟通交流,将这些途径作为辅助手段,尽可能获得相当多安全信息。同时还要了解微软Windows操作一些使用常识和安全漏洞,它们也是信息收集工作的重点之一,因为如今的U盘病毒也是利用操作特点和漏洞进行传播攻击的。在掌握了第一手安全信息资料后,需要马上做好记录,并立即考虑处理方案。: ]+ z: W* x8 F
2.搜集病毒样本
, W9 D5 ~: k* f* c1 I收集样本要通过很多途径,可以通过受感染的计算机来收集,也可向计算机用户提出请求,索取病毒样本,还可访问一些与病毒相关的论坛,查看各种相关的帖子和网页,或者通过我们为病毒设置的陷阱。另外,收邮件也是获得样本的重要途径。" C- I4 U9 @/ R- l8 l* Q2 _
3.病毒样本鉴别
3 b$ W/ R* x1 f, i- R- n获取样本后自然是鉴定,鉴定主要依靠病毒表现特征,判断可疑程序究竟是什么性质,如果是恶意的,那么就定义为病毒或者木马。这对有经验的用户来讲,有些类型凭经验就可鉴别,还可借助专用的工具和特殊的流程来实现。2 e7 S1 j9 B, N2 v8 [8 h# ~5 P
4.病毒特征分析
. V8 B$ N8 `5 J: t2 S4 |! l当定性为病毒过后,接下来就是对病毒进行分析,判定危害级别,并且进一步分析病毒的作用机制,包括对Windows注册表控制、进程、驻留方式、反清除(删除)能力等。这有利于后一步程序设计,使编写程序有的放矢地针对某个病毒开发出清除模块。1 B. c3 i& b6 X
5.清除程序设计
2 p/ [* p$ ^) i根据已经掌握病毒样本,针对不同病毒特征和作用机制,利用编程语言设计与开发相应的程序模块和代码编写,并在设计过程中和模块建立后进行效果检验与测试。. p$ z4 ~6 h- t" g& }
, Z8 ~' J4 B6 k' k四、 病毒特征分析
& g+ c _" Q$ t) Q. C% M* Y+ R5 d, U( {' H
目前U盘病毒种类和变种较多,选择了其中3种具有感染频率高,危害较大的种类作为此次程序设计的主要研究对象。
1 k# h1 M: j( E2 N- s$ R, q; F; j4 y7 G3 H9 E
这三个对象是:RavMonE.exe病毒、Sxs.exe病毒和Vbs病毒。它们都是当今U盘病毒类型中高感染率类型,其中RavMonE.exe病毒是被认出现最早的USB病毒,Sxs.exe病毒是感染率较高且不易清除的一种病毒,而Vbs病毒是公认变种(变型)最多的病毒之一。
$ f* K3 {; z; ]) {5 ^* t
: `3 R; }! T1 [对多台受U盘病毒感染的计算机做多次实验分析,通过阻断、设立陷阱、进程控制和注册表观察等方法,分析和总结了USB接口病毒等症状和传染激发条件,基本弄清了上述三种病毒的判别特征和作用机制,揭示UBS接口病毒发作及危害的本质。详细解释如表1所示。) E' e- p8 `9 z6 C) a- N
/ |' }( f6 ^! I& j1. 病毒判别特征6 ^' X4 Z/ u B- I! B$ V
0 }" _9 W' r8 ~5 L" K
表1 U盘RavMonE病毒/Sxs病毒/Vbs病毒特征
7 b' G: p& t* b" V; `; r2 ~0 V1 k5 w* {5 _9 B( V: a# B# B/ L$ {
病毒名称 病毒特征 感染途径与危害机制 样本数(U盘)
R9 B8 O$ V( Y- C2 @0 m4 y9 H# P; A4 A
RavMonE.exe ①RavMonE.exe是最早的USB接口病毒,在U盘、移动硬盘上传播。
# c. r" Z* S" {% [3 r; s% `4 @+ E+ w2 h2 z, ]
②该病毒由如下文件组成:Autorun.inf、Msvcr71.dll、RavMonE.exe和RavMonLog,当用户双击U盘盘符,会激活Autorun.inf病毒,并随用户操作磁盘自动加载RavMonE.exe,中毒之后,计算机识别U盘时会极为缓慢,且病毒又会传染给别的U盘,单看文件名就可判定这是病毒RavMonE.exe,企图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe。
) v/ R8 u. C7 D7 w! ]8 _
9 w8 O8 o0 n3 P* `; _, q③计算机初级用户若不在意会误以为:RavMonE.exe也是正常程序文件。
" P3 Q0 f/ m% S9 R/ v- R8 ~8 ~% n1 S, e% X5 @) t7 J5 h6 [- }, p
①修改注册表 ?$ i2 p% e* I# `5 a
0 S/ F2 C0 w d: {②进程控制, `, {0 J2 U9 g8 H
8 q4 O% E/ r& `' }5 B2 e③利用磁盘根目录下的Autorun.inf文件实现自启动
. [8 u" R1 m' n
% [0 n; J7 b$ W" A ]/ {6 S④文件自我复制到Windows和System32目录1 a, h! r6 R2 n$ n! I: {6 ]
4 `4 e6 [3 @# @ [# W306 J8 e, b& K8 l; q
: z0 p, M# w8 M& D* p4 U) u9 C
Sxs.exe ①该病毒在每个盘根目录下自动生成Sxs.exe,Autorun.inf文件,有的还在Windows\System32下生成Svohost.exe 或 Sxs.exe 。2 ?' d$ Y2 `% g' M* J2 g
2 {" v9 t6 y1 f( e% V②所有病毒文件属性为隐藏属性。自动禁用杀毒软件。主要通过U盘,移动硬盘传播。
6 W1 e$ h5 j6 j! u
! R# `0 o9 R. O b5 A③按Ctrl+Del+Alt查看进程,可能多出一个Svohost进程,它与系统自带的Svchost只差一字,具有很强迷惑性!0 G$ h4 J- X9 _! X$ @8 Q& x( n
8 m: t' [9 W" \
③识别时,按Ctrl+Del+Alt查看进程,可能多出Svohost进程! ①修改注册表' P6 `8 W1 R% ~4 a5 G( F1 W
# m0 P* _( Y& O0 H
②隐藏进程
8 B/ y `5 K( R2 `3 R" H. o. @. G8 R9 @! V$ I; _% D
③利用磁盘根目录下的Autorun.inf文件实现自启动
+ s( X4 T9 g2 V
3 r: l+ P# s) _④病毒文件自我或多目标复制
5 ~# O" P3 u* r6 W/ Y/ M( J! v" ^: N z, p# v6 E3 e& ?7 u p
Vbs ①双击盘符无法打开,显示缺少Autorun.vbs,无论双击哪个盘的图标,系统都会重新打开一个窗口。' _ N( v# c" u
: ]5 ^: q2 U5 Q该病毒主要通过U盘感染,中毒现象表现为主机不停的发出声音,类似于读软盘的声音,打印机无法正常工作且驱动无法安装。; Y& j" u9 q3 ?; L" s
' a8 H- l: t0 _: E& W# R
②按Ctrl+Del+Alt查看进程,如多出至少一个Wscript.exe进程,表明可能已中此毒。/ i" p+ L, q& U( e% w" y% n+ X
1 L" A6 h* X4 n% D$ S③中毒后Windows或Windows\System32目录和各磁盘根目录下,会多出7个文件:Autorun.bat Autorun.vbs Autorun.bin Autorun.inf Autorun.txt Autorun.reg Autorun.wsh' o. T/ G; C* G# K: U
: j0 o& e: ] K/ K2 W3 E①修改注册表# D# ?* O; t& p! Y2 n: T1 ~" U/ M7 L+ |
8 u/ _8 U" \9 x1 {; n: d0 L" p
②隐藏和产生新进程Wscript.exe
! o) H6 g( Q1 K2 y
- f% y1 N1 l3 |3 t7 R% \8 K g③利用磁盘根目录下的Autorun.*多个文件关联实现自启动和自保护$ N7 Y& s) f ^5 i8 @# G
+ L0 J1 k* ~5 K, s& x
④病毒文件自我或多目标复制。
: k8 P N7 ^/ r) y0 y6 D# z) T' j% j* I$ S2. 感染途径 |
评分
-
查看全部评分
|
