|
|
发表于 2007-10-25 10:37:36
|
显示全部楼层
来自: 中国四川成都
计算机USB接口病毒揭密和清除
同意楼上的处理方法,同时贴上
' O$ n& L Y: Y1 I% U摘要 本文通过研究和分析计算机USB接口病毒程序特征、作用原理和侵入途径,利用编程工具Delphi进行程序设计,编写反病毒程序,实现对这种病毒的自动检测和清除。病毒和反病毒是相生相克的一对矛盾,属于当今计算机领域的前沿热门课题,通过该程序的设计与实现,自己动手清除病毒,彻底消除对病毒的神秘感和恐惧感。) i" J% S5 y) ~3 S
$ Z/ v: d+ W1 A/ p( @
关键词 UBS接口,Autorun.inf,病毒揭密,清除程序
9 B% c& h2 E, T0 h$ f
; u* N w! N3 c
/ w8 o' ]5 w; L' U( ]; `2 H
/ h9 y3 E" e, M( {$ q4 x一、 主要病毒类型. H4 |3 |! T( U& B$ T7 s# H4 _
8 P1 j* l6 J& L+ I
据有关资料报道和业内人士称,病毒实际上就是人为编写的恶性程序。 根据病毒特有的算法,病毒又可以划分为伴随型病毒、蠕虫病毒等。 - }% f: S, W: w1 J* j% J# t
6 P, o8 x! z+ B0 m
无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。
8 P' Q, a1 p: q7 @% e" O) |+ {2 z z. B; ?+ a# ]$ l
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及异常音响。
1 M, {2 r( Z& C% b/ E9 z4 C4 Z/ K) T; f! J( `' I
危险型:这类病毒在计算机系统操作中造成严重的错误。! F# e; K, [- u3 x! M4 h, L* `4 y0 Q3 I
$ B9 j6 ]" I0 ]
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。/ U* Q2 t9 k) r" s& `
- v* Z" y( t: ]' {8 N
在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对计算机系统的直接破坏作用,比如格式化硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒,其实这些只是病毒劣迹的一部分,随着计算机应用的发展,人们深刻地认识到凡是病毒都可能对计算机及系统造成严重的破坏。主要表现在如下方面: 病毒激发后对计算机数据信息的直接破坏作用; 占用磁盘空间和对信息的破坏;抢占系统资源;影响计算机运行速度,病毒进驻内存后不但干扰系统运行,还影响计算机速度;计算机病毒给用户造成严重的心理压力。
$ r% M$ K/ J0 r
- P, K" i8 \2 t _- D二、 USB接口病毒作用特征- k5 A) `. N0 h, v3 w1 K8 `
. t3 _8 j3 {9 _- E
USB是“Universal Serial Bus”的缩写,意思是“通用串行总线”, 是电脑系统接驳外围设备(如U盘,活动硬盘、键盘、鼠标、打印机等)的输入/输出接口标准。现今用此种总线连接的设备非常多,使用极为广泛,USB接口病毒最大的特征就是利用USB接口这一特性而感染计算机的, 通过运行磁盘根目录下的Autorun.inf文件来激活。随着USB设备具有移动性和使用上方便性,使得这类病毒传播起来速度非常之快,也正因为如此,USB接口病毒种类和变种较多。/ v8 P" m. _) M9 O
, \ Z, \( |$ Q* A本程序在充分了解和分析了USB接口病毒的作用原理的基础上设计出专杀工具,达到清除病毒的目的。
4 Z2 Z) H3 }/ D, B2 X
5 j/ D& s& p+ @9 g& C) t三、 流程及步骤:! T8 p6 c: \: d
( P/ [/ x- t2 E( Y实现该程序的关键是寻找病毒样本(受感染的U盘或计算机),观察受U盘病毒感染的磁盘和计算机病态特征,通过阻断、设立陷阱、注册表监控等方法,分析和总结USB接口病毒等症状和激发条件,在弄清作用原理和机制的基础上,应用编程工具,设计出清除实验对象(病毒)的专用程序,从而完成设计目标。整个设计主要步骤如图1所示。
6 `( t! e. i) p/ l; j图1 病毒处理流程图
. `; `# k! ^, |1 H其中各部分的主要含义如下:" `8 }) B9 F6 ^" W* M' e |9 U6 E' \
1. 搜集安全信息
& ?# b1 s7 C* e6 p7 a0 Y通过受感染的计算机在第一时间收集最新的安全信息。同时也访问一些安全网站、安全论坛等进行沟通交流,将这些途径作为辅助手段,尽可能获得相当多安全信息。同时还要了解微软Windows操作一些使用常识和安全漏洞,它们也是信息收集工作的重点之一,因为如今的U盘病毒也是利用操作特点和漏洞进行传播攻击的。在掌握了第一手安全信息资料后,需要马上做好记录,并立即考虑处理方案。( g4 C3 R9 E1 [( N8 G& P% I. z
2.搜集病毒样本8 \. u2 B# n- _3 y
收集样本要通过很多途径,可以通过受感染的计算机来收集,也可向计算机用户提出请求,索取病毒样本,还可访问一些与病毒相关的论坛,查看各种相关的帖子和网页,或者通过我们为病毒设置的陷阱。另外,收邮件也是获得样本的重要途径。
# n) Y' T) R6 @7 Q. t# E3.病毒样本鉴别9 K2 \2 \% l/ u* {) ]
获取样本后自然是鉴定,鉴定主要依靠病毒表现特征,判断可疑程序究竟是什么性质,如果是恶意的,那么就定义为病毒或者木马。这对有经验的用户来讲,有些类型凭经验就可鉴别,还可借助专用的工具和特殊的流程来实现。9 v/ D2 }! [$ q% [: b
4.病毒特征分析
# K6 E# h% |/ Z; l) K当定性为病毒过后,接下来就是对病毒进行分析,判定危害级别,并且进一步分析病毒的作用机制,包括对Windows注册表控制、进程、驻留方式、反清除(删除)能力等。这有利于后一步程序设计,使编写程序有的放矢地针对某个病毒开发出清除模块。
$ D, j* k* @, K& Y* h 5.清除程序设计
& w$ M/ R& C' v& {9 i根据已经掌握病毒样本,针对不同病毒特征和作用机制,利用编程语言设计与开发相应的程序模块和代码编写,并在设计过程中和模块建立后进行效果检验与测试。; v. `$ q/ b6 u0 P& s" I
/ _4 v* ]. q% ~8 M& k W0 O
四、 病毒特征分析
5 E9 B; p0 Y1 I$ U$ V. s A
3 G% L4 z( v. R8 K! X* h目前U盘病毒种类和变种较多,选择了其中3种具有感染频率高,危害较大的种类作为此次程序设计的主要研究对象。
( L; Y6 l9 o0 H* u9 |
5 h( t7 B9 ~& e# ^. T% I2 Y0 D这三个对象是:RavMonE.exe病毒、Sxs.exe病毒和Vbs病毒。它们都是当今U盘病毒类型中高感染率类型,其中RavMonE.exe病毒是被认出现最早的USB病毒,Sxs.exe病毒是感染率较高且不易清除的一种病毒,而Vbs病毒是公认变种(变型)最多的病毒之一。
( p v0 W1 s9 O, o* u7 J# {, a, y
对多台受U盘病毒感染的计算机做多次实验分析,通过阻断、设立陷阱、进程控制和注册表观察等方法,分析和总结了USB接口病毒等症状和传染激发条件,基本弄清了上述三种病毒的判别特征和作用机制,揭示UBS接口病毒发作及危害的本质。详细解释如表1所示。* o' M/ ^' U+ `1 P; ]' f" L" G. k0 c
) J, N8 s) |: ^) \) K( w4 D
1. 病毒判别特征
$ j- R+ n3 V& y. g4 Y& o6 V* w. K* h1 Y* d6 x. Y% S, Q& \4 o' V
表1 U盘RavMonE病毒/Sxs病毒/Vbs病毒特征2 ^' k f0 _5 J5 S
4 o7 t( O8 P* _1 h! z. N# o病毒名称 病毒特征 感染途径与危害机制 样本数(U盘)
! U# `8 e/ W3 D7 C+ I m% K8 l/ V! W9 s$ ?
RavMonE.exe ①RavMonE.exe是最早的USB接口病毒,在U盘、移动硬盘上传播。0 @4 q- @0 G4 e7 R7 O
; B+ D7 g: ^3 u0 J8 J
②该病毒由如下文件组成:Autorun.inf、Msvcr71.dll、RavMonE.exe和RavMonLog,当用户双击U盘盘符,会激活Autorun.inf病毒,并随用户操作磁盘自动加载RavMonE.exe,中毒之后,计算机识别U盘时会极为缓慢,且病毒又会传染给别的U盘,单看文件名就可判定这是病毒RavMonE.exe,企图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe。
( I8 ?/ _& W7 D* p( M$ m* r6 B7 _1 ~, k8 B% J# Y/ ?$ N
③计算机初级用户若不在意会误以为:RavMonE.exe也是正常程序文件。
* @% a6 \% y& {- N: N, q
# D% W+ N+ Q2 i" w①修改注册表
3 k9 k, K) J! K! N @
7 V5 _! k" C, N②进程控制% S' P6 Q h- V/ @5 d2 ]% W
! b, {: D& W' t7 @6 g: a @
③利用磁盘根目录下的Autorun.inf文件实现自启动' Z+ [6 ]' F# Q: a6 a j
* m" o& P3 i/ I% }
④文件自我复制到Windows和System32目录
3 T" H! \: o+ b/ H" U; k6 P I6 B8 s; R3 Y
30
( |1 Z; V$ j2 o, a+ }5 c, k# I# v9 P- @& g2 y9 ]& C
Sxs.exe ①该病毒在每个盘根目录下自动生成Sxs.exe,Autorun.inf文件,有的还在Windows\System32下生成Svohost.exe 或 Sxs.exe 。
& d- s/ I4 J' _% D
* f* s7 J$ {' F②所有病毒文件属性为隐藏属性。自动禁用杀毒软件。主要通过U盘,移动硬盘传播。
) A; z& N# Q/ t% O4 C& ?" @' N# i3 T; N. K, c' I$ H, F) P5 U
③按Ctrl+Del+Alt查看进程,可能多出一个Svohost进程,它与系统自带的Svchost只差一字,具有很强迷惑性!9 j. G7 x; | ?8 A
. ~: |% E+ X: r/ R# K- ~( L/ z; Z% u
③识别时,按Ctrl+Del+Alt查看进程,可能多出Svohost进程! ①修改注册表
& N" w1 U9 G/ w% Y( f
. x% w# ~- V3 Q% L/ c I& L8 I②隐藏进程6 ]# V7 _! N. W( f: P G
- D2 D: ~ Z% ?5 }! V③利用磁盘根目录下的Autorun.inf文件实现自启动
/ J _$ \( @4 A5 n9 |5 f' H3 b6 ~1 T4 E& k6 U
④病毒文件自我或多目标复制2 S* o, m) X- v. g
9 u0 t) s. \0 |9 o+ A/ PVbs ①双击盘符无法打开,显示缺少Autorun.vbs,无论双击哪个盘的图标,系统都会重新打开一个窗口。1 f, p5 S3 d4 }2 s# B* d# K
4 k9 t4 `: ~% c- D
该病毒主要通过U盘感染,中毒现象表现为主机不停的发出声音,类似于读软盘的声音,打印机无法正常工作且驱动无法安装。7 z$ y* Z9 s: H, s) Q
) Y9 t+ Q. B) [# K
②按Ctrl+Del+Alt查看进程,如多出至少一个Wscript.exe进程,表明可能已中此毒。+ F, g' K8 x1 H# ~
+ g5 |2 ]6 L' X1 @1 r' C* L
③中毒后Windows或Windows\System32目录和各磁盘根目录下,会多出7个文件:Autorun.bat Autorun.vbs Autorun.bin Autorun.inf Autorun.txt Autorun.reg Autorun.wsh
; }/ R8 p8 V; e5 N8 L: h
5 ]& N0 o0 D% P. y①修改注册表/ ^# s; s. d- b+ z6 I
' X6 w' w9 s( l2 v②隐藏和产生新进程Wscript.exe
* C( c% Q- `, n+ m: }9 L! b5 v0 r% E7 N) O# _% h, H2 z' w& v5 t# M$ v$ c
③利用磁盘根目录下的Autorun.*多个文件关联实现自启动和自保护
V4 k+ L& Z: h ]7 e F* o# {. i
" n1 r6 J" i- n5 x④病毒文件自我或多目标复制。
2 v1 e* l7 y; Q! J+ t2. 感染途径 |
评分
-
查看全部评分
|
