日常病毒分析及处理

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Confidential,Copyright 2007 - Trend Micro Inc.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Confidential,*,Lansen Shao,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,日常病毒分析及处理,目标,掌握反病毒知识,熟悉反病毒工具的使用,培养现场反病毒应急响应能力,课程进度,1.,病毒概述,1.1,当前面临的威胁,1.2,当前病毒流行的趋势,2.,病毒感染过程和行为,2.1,病毒的传播方式,2.2,病毒自启动方式,3.,常用的病毒处理方法,3.1,疑似病毒现象,3.2,进行系统诊断,3.3,病毒清除方法,3.4,常用的工具介绍,4.,典型的病毒案例分析,5.,防病毒现场演练,1.1,当前面临的威胁,随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：,病毒,PE,蠕虫,WORM,木马,TROJ,后门,BKDR,间谍软件,SPY,其他,以上统称为恶意代码。,1.2,当前病毒流行的趋势,范围：全球性，,如等病毒,速度：越来接近零日攻击，,如等病毒,方式：蠕虫、木马、间谍软件联合，,如,Lovgate,等病毒,课程进度,1.,病毒概述,1.1,当前面临的威胁,1.2,当前病毒流行的趋势,2.,病毒感染过程和行为,2.1,病毒的传播方式,2.2,病毒自启动方式,3.,常用的病毒处理方法,3.1,疑似病毒现象,3.2,进行系统诊断,3.3,病毒清除方法,3.4,常用的工具介绍,4.,典型的病毒案例分析,5.,防病毒现场演练,2.,病毒感染的一般过程,病毒感染的一般过程大致分为：,通过某种途径传播，进入目标系统,自我复制,并通过修改系统设置实现随系统自启动,激活病毒负载的预定功能，,如,打开后门等待连接，,发起,DDOS,攻击，,进行键盘记录等,2.1,病毒的传播方式,传播方式主要有：,电子邮件,网络共享,P2P,共享,系统漏洞,2.1,病毒的传播方式,电子邮件,HTML,正文可能被嵌入恶意脚本，,邮件附件携带病毒压缩文件,利用社会工程学进行伪装，增大病毒传播机会,快捷传播特性,例子，,WORM_MYTOB,等病毒,2.1,病毒的传播方式,网络共享,病毒会搜索本地网络中存在的共享，,如,ADMIN$ ,IPC$,E$ ,D$,C$,通过空口令或弱口令猜测，获得完全访问权限,病毒自带口令猜测列表,将自身复制到网络共享文件夹中,通常以游戏,CDKEY,等相关名字命名,利用社会工程学进行伪装，诱使用户执行并感染。,例子，,WORM_SDBOT,等,病毒,2.1,病毒的传播方式,P2P,共享软件,将自身复制到,P2P,共享文件夹,通常以游戏,CDKEY,等相关名字命名,通过,P2P,软件共享给网络用户,利用社会工程学进行伪装，诱使用户下载,例子，等病毒,2.1,病毒的传播方式,系统漏洞,由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞,.,病毒往往利用系统漏洞进入系统,达到传播的目的。,常被利用的漏洞,RPC-DCOM,缓冲区溢出,(MS03-026),Web DAV,(MS03-007),LSASS,(MS04-011),(Local Security Authority Subsystem Service),例子，,WORM_MYTOB,、,WORM_SDBOT,等,病毒,2.1,防止病毒入侵,针对病毒传播渠道趋势产品应用,利用防病毒软件阻挡电子邮件中的可执行文件。,例如趋势科技的,ScanMail,产品,2.1,防止病毒入侵,针对病毒传播渠道趋势产品应用,使用,OPP,阻断病毒通过共享及漏洞传播,2.1,防止病毒入侵,及时更新,windows,补丁，修补漏洞,强化密码设置的安全策略，增加密码强度,加强网络共享的管理,增强员工病毒防范意识,2.2,病毒自启动方式,修改注册表,将自身添加为服务,将自身添加到启动文件夹,修改系统配置文件,其他非常规手法,2.2,病毒自启动方式,注册表启动项,文件关联项,系统服务项,BHO,项,2.2,病毒自启动方式,注册表启动,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion,下：,RunServices,RunServicesOnce,Run,RunOnce,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion,下：,Run,RunOnce,RunServices,以上这些键一般用于在系统启动时执行特定程序。,2.2,病毒自启动方式,文件关联项,HKEY_CLASSES_ROOT,下：,exefileshellopencommand =%1 %*,comfileshellopencommand =%1 %*,batfileshellopencommand =%1 %*,htafileShellOpenCommand =%1 %*,piffileshellopencommand =%1 %*“,病毒将,%1 %*,改为,“virus.exe %1 %*,将在打开或运行相应类型的文件时被执行,2.2,病毒自启动方式,病毒常修改的,Bat,文件,%windows%,该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。,Autoexec.bat,在,DOS,下每次自启动,2.2,病毒自启动方式,启动文件夹启动：,当前用户的启动文件夹,可以通过如下注册表键获得,:,SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders,中的,StartUp,项,公共的启动文件夹,可以通过如下注册表键获得,:,SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders,中的,Common StartUp,项,病毒可以在该文件夹中放入欲执行的程序，,或直接修改其值指向放置有要执行程序的路径。,课程进度,1.,病毒概述,1.1,当前面临的威胁,1.2,当前病毒流行的趋势,2.,病毒感染过程和行为,2.1,病毒的传播方式,2.2,病毒自启动方式,3.,常用的病毒处理方法,3.1,疑似病毒现象,3.2,进行系统诊断,3.3,病毒清除方法,3.4,常用的工具介绍,4.,典型的病毒案例分析,5.,防病毒现场演练,3.1,疑似病毒现象,经常出现系统错误或系统崩溃,系统反应变慢，网络拥塞,陌生进程或服务,可疑的打开端口,可疑的自启动程序,病毒邮件,3.2,进行系统诊断,趋势科技提供,SIC,工具,(system information collector),进行系统的诊断，并,收集系统信息，包括,网络共享,网络连接,注册表自启动项,已注册的系统服务,当前进行列表,引导区信息等,其他工具：,HijackThis,3.3,病毒清除方法,标识病毒文件和进程,中止病毒进程或服务,使用,windows,自带的任务管理器,使用第三方的进程管理工具，,如,process explorer,或是,pstools,。,3.3,病毒清除方法,恢复注册表的设定,根据病毒修改的具体情况，删除或还原相应的注册表项。,您可以从趋势科技网站的以下链接中查找病毒相关的信息：,http:/,工具：注册表编辑器,您可以用以下命令运行,:,command /c copy % |,提示：如果您不确信找到的键值是不是属于该病毒的，您可以写信给趋势科技的技术人员寻求进一步的信息。,3.3,病毒清除方法,恢复系统配置文件的设定,检查,配置文件的,windows,节中的项：,如,: windows,run = virus.exe,检查,配置文件的,boot,节中的项：,如,: boot,Shell=,删除病毒相关的部分,.,3.4,常用工具介绍,工具：,SIC,，,HijackThis,系统诊断,Process Explorer,分析进程,TCPView,分析网络连接,Regmon,InstallRite,监视注册表,Filemon,InstallRite,监视文件系统,WinPE,3.4.1,InstallRite,InstallRite,功能,:,跟踪文件系统的变化,跟踪注册表的变换,注,:,若恶意程序带有,RootKit,功能,请重启后进入安全模式再分析系统变化,(,如灰鸽子某些变种,),局限性,:,解决方法,无法跟踪进程树的变化, Process Explorer,无法跟踪网络连接和端口情况, TCP Viewer,3.4.1,InstallRite,演示,3.4.1,InstallRite,演示,3.4.2,Process Explorer,Process Explorer,功能,:,用来查看系统中正在运行的进程列表,可以查看有些隐藏的进程,可以查看某个进程的具体信息,可以搜索引用某个,dll,文件的所有进程,动态刷新列表,多用于查看带,RootKit,功能,进程隐藏,内存驻留的恶意程序,3.4.2,Process Explorer,演示,3.4.3 TCP View,TCP View,功能,:,查看系统的网络连接信息,(,远程地址,协议,端口号,),查看系统的网络连接状况,(,发起连接,已连接,已断开,),查看进程打开的端口,动态刷新列表,多用于查看 蠕虫,后门,间谍等恶意程序,3.4.3 TCP View,演示,3.4.4 Regmon,Regmon,主要功能,:,监视系统中注册表的操作,:,如 注册表的打开,写入,读取,查询,删除,编辑等,多用于监视病毒的自启动信息和方式,.,3.4.4 Regmon,演示,3.4.5 Filemon,Filemon,主要功能,:,监视文件系统的操作,:,如 建立文件,打开文件,写文件,读文件,查询文件信息等,多用于查找,Dropper,的主体程序,.,3.4.5 Filemon,演示,3.4.6 WinPE,微软在,2002,年,7,月,22,日推出了,Windows PreInstallation Environment,（简称,WinPE,）,按微软官方对它的定义是：,“,Windows,预安装环境（,WinPE,）是带有限服务的最小,Win32,子系统，基于以保护模式运行的,Windows XP Professional,内核。,3.4.6 WinPE,WinPE,可用于清除有些顽固的,PE,病毒,(,文件感染型,),有时在,Windows,环境下,用杀毒软件无法彻底清除文件感染型病毒或关键系统文件已被病毒损坏或替换,.,WinPE,启动后为干净的系统,(,无毒,),WinPE,集成了很多常用的工具,课程进度,1.,病毒概述,1.1,当前面临的威胁,1.2,当前病毒流行的趋势,2.,病毒感染过程和行为,2.1,病毒的传播方式,2.2,病毒自启动方式,3.,常用的病毒处理方法,3.1,疑似病毒现象,3.2,进行系统诊断,3.3,病毒清除方法,3.4,常用的工具介绍,4.,典型的病毒案例分析,5.,防病毒现场演练,4.,典型病毒案例分析,案例,1,：,后门：灰鸽子,【BKDR_HUPIGON.G】,案例,2,：,木马：传奇木马,【TROJ_LEGMIR.CN】,案例,3,：,蠕虫：,【WORM_LOVGATE.AE】,4.1,案例,1,：灰鸽子,灰鸽子的自行安装,在无意中执行了灰鸽子后门程序后,会在,windows,目录中释放,4,个文件：,G_SERVER.DLL,G_SERVER.EXE 【 copy of itself 】,G_SERVER_HOOK.DLL,G_SERVERKEY.DLL,使用了,rootkit,技术隐藏以上文件，,导致用户手工查看时不可见。,4.1,案例,1,：灰鸽子,灰鸽子的自启动：注册为服务,通过将自身注册成服务，并添加以下注册表服务项，常驻内存,HKEY_LOCAL_MACHINESystemCurrentControlSetServicesGrayPigeonServer,执行后门功能：,打开一个随机的端口，允许远程用户连接受感染系统。,一旦连接成功，它将在本地执行以下命令,Create registry entries,Startkill services,Startkill processes,Create files in any folder chosen by the remote user,Create threads,Get disk status,Download files from the Internet to the affected system,Log keystrokes,Inject processes,4.1,案例,1,：灰鸽子,清除灰鸽子,以,windows XP,为例，步骤如下 ：,关闭,XP,系统还原；,重启进入安全模式，由于正常模式下文件不可见；,打开文件夹的显示隐藏文件、系统文件功能；,找到并删除,window,目录下灰鸽子的,4,个文件；,打开,regedit,，删除,HKEY_LOCAL_MACHINESystem,CurrentControlSet,Services,下的,GrayPigeonServer,项 ；,清除完成。,4.2,案例,2,：传奇木马,用于盗取一款网络游戏传奇的游戏用户信息（帐号、密码等），并通过电子邮件将偷到的信息发送给远程的恶意用户。,该木马执行后，会在,windows,系统文件夹中释放以下文件：,PRGUSEl0.WIX,PRGUSEl1.WIX,SVCH0ST.EXE a copy of itself,4.2,案例,2,：传奇木马,该木马创建以下注册表键值,HKEY_CLASSES_ROOTPrgusel1.classname,HKEY_CLASSES_ROOTCLSID081FE200-A103-11D7-A46D-C770E4459F2F,HKEY_LOCAL_MACHINESOFTWAREClassesCLSID081FE200-A103-11D7-A46D-C770E4459F2F,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows,CurrentVersionExplorerShellExecuteHooks081FE200-A103-11D7-A46D-C770E4459F2F = hookmir,4.2,案例,2,：传奇木马,清除传奇木马,以,windows XP,为例，步骤如下：,关闭,XP,系统还原；,标识病毒程序和文件：更新病毒库，用趋势产品扫描；,结束病毒相关的恶意进程：进程管理器，,Process Explorer,删除病毒相关的注册表项：（具体项见前页）；,清除完成。,4.3,案例,3,：,的自身安装,该蠕虫会在执行后，生成以下文件：,%System%,%System%,%System%kernel66.dll,%System%,%System%,%System%,%Windows%,并在,Windows system,目录中释放以下后门组件,LMMIB20.DLL,MSJDBC11.DLL,MSSIGN30.DLL,ODBC16.DLL,4.3,案例,3,：,的自启动：,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,下,WinHelp,C:WINDOWSSystem32TkBellExe.exe“,Shell Extension = %System%“,Hardware Profile = %System%“,Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg“,Microsoft NetMeeting Associates, Inc.,“,Program In Windows,C:WINDOWSSystem32IEXPLORE.EXE,VFW Encoder/Decoder Settings =,RUNDLL32.EXE MSSIGN30.DLL ondll_reg“,HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows,下，,run,“,4.3,案例,3,：,通过修改注册表，将自身注册成服务,:,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices,下,COM+ System = “,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices,下，,SystemTra = C:WINDOWS “,HKEY_LOCAL_MACHINESystemCurrentControlSetServices,下,注册,_reg,和,Windows Management Protocol v.0 (experimental),两个服务,对基于,NT,的系统,它会添加一个文件,该文件允许,window,的自动播放功能来执行系统根目录下的,COMMAND.EXE.,它还会创建相关的注册表项：,HKEY_LOCAL_MACHINESoftwareClassesAutoRun2ShellAutoRuncommand,下，,Default = C:COMMAND.EXE /StartExplorer,4.3,案例,3,：,大量邮件传播：,该病毒通过,MAPI,来回复系统中找到的电子邮件；,它发送的邮件是原始邮件的主题前加,RE,：，并邮件正文的第一部分保留原始邮件。该邮件包含文件变化的附件。,该病毒还通过搜索,Windows Address Book (WAB),取得邮件接收目标，并利用自带的,SMTP,引擎来发送电子邮件。,4.3,案例,3,：,网络共享传播,该病毒会尝试在开放写入权限的网络共享文件夹中放,入自身副本，并利用社会工程学，以以下名字命名：,admin$system32NetManager32.exe,autoexec.bat,Cain.pif,client.exe,Documents and Settings.txt.exe,findpass.exe,i386.exe,Internet Explorer.bat,Microsoft Office.exe,mmc.exe,MSDN.ZIP.pif,Support Tools.exe,Windows Media Player.zip.exe,WindowsUpdate.pif,winhlp32.exe,WinRAR.exe,xcopy.exe,它会在,windows,目录中建立共享文件夹，并将自己复制到该文件夹中，并以以下的文件名命名。,4.3,案例,3,：,结束进程,这个蠕虫会结束包含有以下任一字符串的进程,MCAFEE,RAVMON.EXE,RFW.EXE,RISING,SKYNET,SYMANTEC,文件关联：,HKEY_CLASSES_ROOTtxtfileshellopencommand,Default, %1,4.3,案例,3,：,的清除,以,windows XP,为例，步骤如下：,关闭,XP,系统还原；,重启进入安全模式，,逐条删除病毒写入的注册表启动项；列表参见前面,PPT,搜索并删除病毒文件；列表参见前面,PPT,清除完成。,4.3,案例,3,：,演示,:,课程进度,1.,病毒概述,1.1,当前面临的威胁,1.2,当前病毒流行的趋势,2.,病毒感染过程和行为,2.1,病毒的传播方式,2.2,病毒自启动方式,3.,常用的病毒处理方法,3.1,疑似病毒现象,3.2,进行系统诊断,3.3,病毒清除方法,3.4,常用的工具介绍,4.,典型的病毒案例分析,5.,防病毒现场演练,2024/9/24,59,Confidential,病毒文件的查找与分析系统文件比对,桌面,用户加载项,管理工具,输入法,服务,注册表,记事本,RPCdllWinhlp32.exe,帮助,任务管理器,计算器。,2024/9/24,60,Confidential,病毒文件的查找与分析关键路径,c:,c:windows,c:windowssystem32,c:windowssystem,c:windowsfonts,c:windowstasks,c:windowstemp,c:windowshelp,c:windowssystem32dllcache,c:windowssystem32drivers,C:Program FilesCommon FilesMicrosoft Shared,C:Program FilesInternet Explorer,。,病毒文件的查找与分析启动项,可查看工具,Msconfig,Regedit,Autorun,病毒文件的查找与分析系统进程,System,system idle process,。,Trend OSCE,进程,随机的六位字母数字组合在,windowstemp,路径下,病毒文件的查找与分析服务,按照注释排序描述为空白的,病毒文件的查找与分析注册表,启动项,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,映像文件,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options,服务,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,ARP,病毒类关键性文件检查,。,辅助分析工具,Autoruns,Icesword,2024/9/24,67,Confidential,解决方案,-,未知病毒收集网页,http:/analysis/,2024/9/24,68,Confidential,解决方案,-TMSC(Suspects Collector),工具,辅助修复工具及方法,隐藏文件选项修复,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL,值修改为,1,：,CheckedValue=dword:00000001,Q & A,谢谢观赏,