|
|
发表于 2007-10-25 10:37:36
|
显示全部楼层
来自: 中国四川成都
计算机USB接口病毒揭密和清除
同意楼上的处理方法,同时贴上% o$ l j. u, @# q6 ~, j
摘要 本文通过研究和分析计算机USB接口病毒程序特征、作用原理和侵入途径,利用编程工具Delphi进行程序设计,编写反病毒程序,实现对这种病毒的自动检测和清除。病毒和反病毒是相生相克的一对矛盾,属于当今计算机领域的前沿热门课题,通过该程序的设计与实现,自己动手清除病毒,彻底消除对病毒的神秘感和恐惧感。
9 O2 \0 M2 q/ Q7 a2 @7 l) r$ s: i# `# ?2 x1 A0 V* B0 Y: o ~6 z& _
关键词 UBS接口,Autorun.inf,病毒揭密,清除程序; ~* R) O+ W5 C1 P
, h% A. ?4 {* r1 D5 v, k
+ g0 L# s: [& t7 E, g6 A* W. n1 B' z4 l) j, i% L f3 I4 X
一、 主要病毒类型0 T( S! ]+ A- Y
: [' f! I( d) s) w( x$ U' S
据有关资料报道和业内人士称,病毒实际上就是人为编写的恶性程序。 根据病毒特有的算法,病毒又可以划分为伴随型病毒、蠕虫病毒等。
% g J5 T4 o- Z* |
7 q5 |8 O6 b, q( q' w/ \4 `6 J% {1 O无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。( s3 l: _5 H8 R& }9 h2 s8 `8 b' R
4 ]/ @# k% `3 V. T无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及异常音响。
5 l/ l; N( J9 u4 W( G& I& l0 ?5 C2 |( t2 U$ E3 x
危险型:这类病毒在计算机系统操作中造成严重的错误。
! S% t" B' m. x& z J1 s' v, o2 H# I
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。( J: p$ t5 T" q) E' q+ i) E8 |
- i2 S* X' P! @! Z4 p2 X在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对计算机系统的直接破坏作用,比如格式化硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒,其实这些只是病毒劣迹的一部分,随着计算机应用的发展,人们深刻地认识到凡是病毒都可能对计算机及系统造成严重的破坏。主要表现在如下方面: 病毒激发后对计算机数据信息的直接破坏作用; 占用磁盘空间和对信息的破坏;抢占系统资源;影响计算机运行速度,病毒进驻内存后不但干扰系统运行,还影响计算机速度;计算机病毒给用户造成严重的心理压力。* o) {9 F8 _' E
. |2 @, y0 h. a8 B/ I# s二、 USB接口病毒作用特征2 g) ?/ t9 c; U% y5 @
. j6 a2 |6 Z5 x: C' ?) `USB是“Universal Serial Bus”的缩写,意思是“通用串行总线”, 是电脑系统接驳外围设备(如U盘,活动硬盘、键盘、鼠标、打印机等)的输入/输出接口标准。现今用此种总线连接的设备非常多,使用极为广泛,USB接口病毒最大的特征就是利用USB接口这一特性而感染计算机的, 通过运行磁盘根目录下的Autorun.inf文件来激活。随着USB设备具有移动性和使用上方便性,使得这类病毒传播起来速度非常之快,也正因为如此,USB接口病毒种类和变种较多。
6 k+ X, w: G7 a, m( a. a6 t3 q$ R. b3 I: R K( m1 S
本程序在充分了解和分析了USB接口病毒的作用原理的基础上设计出专杀工具,达到清除病毒的目的。
% I2 [9 M* X5 M3 }2 |" q: }% L) N. f4 j* }) n9 n
三、 流程及步骤:
+ n5 R/ v0 Q1 ?6 t7 w8 C/ H& i9 y' p/ s
实现该程序的关键是寻找病毒样本(受感染的U盘或计算机),观察受U盘病毒感染的磁盘和计算机病态特征,通过阻断、设立陷阱、注册表监控等方法,分析和总结USB接口病毒等症状和激发条件,在弄清作用原理和机制的基础上,应用编程工具,设计出清除实验对象(病毒)的专用程序,从而完成设计目标。整个设计主要步骤如图1所示。
. U) l `4 ~. N4 ~( X图1 病毒处理流程图
5 \" H6 f6 L$ k# f7 p其中各部分的主要含义如下:( ~' r$ _6 [( n! Q
1. 搜集安全信息
( D# n( J. I" ^9 B4 ^通过受感染的计算机在第一时间收集最新的安全信息。同时也访问一些安全网站、安全论坛等进行沟通交流,将这些途径作为辅助手段,尽可能获得相当多安全信息。同时还要了解微软Windows操作一些使用常识和安全漏洞,它们也是信息收集工作的重点之一,因为如今的U盘病毒也是利用操作特点和漏洞进行传播攻击的。在掌握了第一手安全信息资料后,需要马上做好记录,并立即考虑处理方案。
5 k/ {1 j J: P' u' ~- W5 U2.搜集病毒样本
$ w5 r$ j4 ?- K& p7 [2 ~收集样本要通过很多途径,可以通过受感染的计算机来收集,也可向计算机用户提出请求,索取病毒样本,还可访问一些与病毒相关的论坛,查看各种相关的帖子和网页,或者通过我们为病毒设置的陷阱。另外,收邮件也是获得样本的重要途径。
$ o3 t" P$ z4 M1 v4 S9 D3.病毒样本鉴别1 r8 u, ~: Q: a" L, h J
获取样本后自然是鉴定,鉴定主要依靠病毒表现特征,判断可疑程序究竟是什么性质,如果是恶意的,那么就定义为病毒或者木马。这对有经验的用户来讲,有些类型凭经验就可鉴别,还可借助专用的工具和特殊的流程来实现。
: R+ S, R: e# P' Y+ F9 f) `4.病毒特征分析 A/ W h" O: V# f1 b/ m8 _( G. ^
当定性为病毒过后,接下来就是对病毒进行分析,判定危害级别,并且进一步分析病毒的作用机制,包括对Windows注册表控制、进程、驻留方式、反清除(删除)能力等。这有利于后一步程序设计,使编写程序有的放矢地针对某个病毒开发出清除模块。
& b9 {' G; ^3 `6 j* ? 5.清除程序设计
) ^$ N( V3 F' Y% Q9 W# h根据已经掌握病毒样本,针对不同病毒特征和作用机制,利用编程语言设计与开发相应的程序模块和代码编写,并在设计过程中和模块建立后进行效果检验与测试。
9 @5 ~6 u5 D3 V7 \( h
0 e1 _1 E! P# y7 Y m7 z四、 病毒特征分析
( k" Q$ ~* [' q9 v4 y
) o$ u* ?. K5 ~9 H( K, F目前U盘病毒种类和变种较多,选择了其中3种具有感染频率高,危害较大的种类作为此次程序设计的主要研究对象。/ H3 C Y" d; L: ?1 p3 o' T
; U i4 r: C4 @& ^
这三个对象是:RavMonE.exe病毒、Sxs.exe病毒和Vbs病毒。它们都是当今U盘病毒类型中高感染率类型,其中RavMonE.exe病毒是被认出现最早的USB病毒,Sxs.exe病毒是感染率较高且不易清除的一种病毒,而Vbs病毒是公认变种(变型)最多的病毒之一。$ ^/ a Z* F3 S
2 D. j% P. D. Q8 I) |, m
对多台受U盘病毒感染的计算机做多次实验分析,通过阻断、设立陷阱、进程控制和注册表观察等方法,分析和总结了USB接口病毒等症状和传染激发条件,基本弄清了上述三种病毒的判别特征和作用机制,揭示UBS接口病毒发作及危害的本质。详细解释如表1所示。$ \6 ~# c3 ^) v. h
; [- K4 B7 M9 B0 B8 I1. 病毒判别特征
/ A7 ^) G; p/ a+ z7 f1 D( t: k, g; [4 c& i7 E: {2 ~
表1 U盘RavMonE病毒/Sxs病毒/Vbs病毒特征
! ]# f' P1 K+ A6 u/ c& _9 W& v1 F; S3 G4 V8 N y' C
病毒名称 病毒特征 感染途径与危害机制 样本数(U盘)
4 M- t! ?2 S# r+ Z9 i% h+ ?, U- R+ x X8 l! F& U
RavMonE.exe ①RavMonE.exe是最早的USB接口病毒,在U盘、移动硬盘上传播。
' E' ] c; s4 e6 L1 _: D- T# |: U. _1 X% b" T% _/ w
②该病毒由如下文件组成:Autorun.inf、Msvcr71.dll、RavMonE.exe和RavMonLog,当用户双击U盘盘符,会激活Autorun.inf病毒,并随用户操作磁盘自动加载RavMonE.exe,中毒之后,计算机识别U盘时会极为缓慢,且病毒又会传染给别的U盘,单看文件名就可判定这是病毒RavMonE.exe,企图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe。
6 d; j. ^) T; h6 r" b) W. k% v$ H7 r
③计算机初级用户若不在意会误以为:RavMonE.exe也是正常程序文件。2 e' T7 u9 B8 V2 d# m; Y( l; a$ |: g
5 Q5 o: a1 F" D4 Q( Z2 i" k; @1 p①修改注册表! m q( J$ A1 e& A( W
3 ], b" ^: m5 Q9 r9 P5 c$ Z
②进程控制
- r, g( P7 l& A& T8 C* [/ @
' B9 \: k* s k+ m③利用磁盘根目录下的Autorun.inf文件实现自启动% }, |0 `) H( {
# w+ l3 [ y2 b' B④文件自我复制到Windows和System32目录
; p/ V" }' I z6 Q9 x
4 p' h% D2 o( [8 h301 f y. G7 ~* d
7 v7 m/ D" {: c3 ~+ h; c ?
Sxs.exe ①该病毒在每个盘根目录下自动生成Sxs.exe,Autorun.inf文件,有的还在Windows\System32下生成Svohost.exe 或 Sxs.exe 。
% j. n1 ?& U, H6 {' _6 n; o) G: F9 ? P ^$ w, p% l; ?" m4 @
②所有病毒文件属性为隐藏属性。自动禁用杀毒软件。主要通过U盘,移动硬盘传播。
1 J/ Y9 T0 y6 f5 I% R- N$ F- L( s1 x7 j. ?- _
③按Ctrl+Del+Alt查看进程,可能多出一个Svohost进程,它与系统自带的Svchost只差一字,具有很强迷惑性!
3 `8 a: l8 |: g8 u1 u# y: m( W! `7 t
5 U* K- W: m/ N9 L3 c( j③识别时,按Ctrl+Del+Alt查看进程,可能多出Svohost进程! ①修改注册表
( R/ X2 @: |! O. y' W- B @" Q8 s& y* O b: z) y; P: w* `
②隐藏进程) q. {2 w( w1 i2 [% e# V1 H9 B! I; C$ U
; ?+ a+ w0 K1 @$ I F③利用磁盘根目录下的Autorun.inf文件实现自启动
2 x0 B4 m. a. v* e' q- c0 {! V: N! z
④病毒文件自我或多目标复制
6 }2 _+ ?- L# ?% e+ B9 a" {* k1 e9 k4 n0 `7 S
Vbs ①双击盘符无法打开,显示缺少Autorun.vbs,无论双击哪个盘的图标,系统都会重新打开一个窗口。
1 V) `! J7 G0 c2 W( F' \' m2 N& Z
该病毒主要通过U盘感染,中毒现象表现为主机不停的发出声音,类似于读软盘的声音,打印机无法正常工作且驱动无法安装。1 D' Z1 U& D3 ?8 f3 |- @
3 u$ a4 ^9 y% `+ w8 f* d% w1 x( j
②按Ctrl+Del+Alt查看进程,如多出至少一个Wscript.exe进程,表明可能已中此毒。
$ q0 ], M6 u, d9 l5 L8 ?/ Q3 L
# [( Z: @. N: }' ^- p③中毒后Windows或Windows\System32目录和各磁盘根目录下,会多出7个文件:Autorun.bat Autorun.vbs Autorun.bin Autorun.inf Autorun.txt Autorun.reg Autorun.wsh J& k6 z g1 A9 G& G u9 t. x. Q
* g: Y) F7 { W, m" z3 y①修改注册表4 L R6 w& J8 R. |2 @& ]6 R
- B/ q! Q3 J+ }/ T& [# e" K$ a& H4 S+ O
②隐藏和产生新进程Wscript.exe
( {7 e* x' h5 z3 z _: M. A+ W
" v7 ^3 p3 r* P③利用磁盘根目录下的Autorun.*多个文件关联实现自启动和自保护5 E8 { k' Y! s$ \- K4 g3 s9 K, v
3 L- j; [7 z' B6 C& A
④病毒文件自我或多目标复制。
' P' x- t3 k+ X2 y, E p+ x G; e2. 感染途径 |
评分
-
查看全部评分
|
