以Safedrvse.exe为例进行蠕虫病毒行为分析与清除
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以Safedrvse.exe为例进行蠕虫病毒行为分析与清除
【摘要】蠕虫病毒是目前所有计算机病毒中数量最多、传播最快、危害最大的一种病毒类型。如何有效的进行蠕虫病毒的防范与清除,是目前在计算机信息安全领域面临的一个严峻问题。只有清楚掌握蠕虫病毒在计算机中的运行情况,了解其行为,才能有效的对其进行防范和清除。本文以典型的蠕虫病毒Safedrvse.exe病毒为例说明蠕虫病毒的分析与清除方法。
【关键词】蠕虫病毒;行为分析;病毒防治
1.Safedrvse.exe病毒行为分析
1.1 Safedrvse.exe病毒简介
Safedrvse.exe病毒目前大范围感染高校内的计算机,使得计算机无法正常的使用。Safedrvse.exe病毒还会自动搜索和关闭杀毒软件,被长时间深度感染的计算机中的应用程序往往都会被破坏掉,使得计算机几乎无法正常使用。
1.2病毒行为分析
在虚拟机系统中,通过filemon监控工具、HA_ProcessExplorer进程分析工具和icesword病毒分析工具对病毒行为进行分析。
开启filemon后运行病毒程序,filemon会记录病毒的运行情况。
(1)找到病毒副本
Safedrvse.exe病毒在系统中的C:\Program Files\Common Files目录下创建了病毒文件的副本如图1所示。打开相应的文件夹可以验证病毒副本的存在如图2所示。并且病毒还会在系统中所有盘符的根目录中生成病毒副本。
图1 病毒在系统中创建副本
图2在系统中的病毒副本
(2)找到病毒进程
进程的判定对于病毒的分析非常重要。由于Safedrvse.exe病毒将自己在系统中的进程注入到svchost.exe 进程中,使得病毒本身具有较强的隐蔽性和迷惑性。在filemon的记录中可以看到svchost.exe 进程与病毒文件之间的关系,从而可以初步断定编号为2504的进程是病毒进程。
图3 病毒进程读写病毒文件
在HA_ProcessExplorer工具中可以看到,其中进程号为2504的svchost.exe 进程与系统中其它svchost.exe进程不同,它是explorer.exe的子进程,说明它是用户进程而不是系统进程。
图4编号为2504的svchost.exe进程是explorer.exe的子进程
打开资源管理器同样可以看到只有一个svchost.exe进程是用户进程如图5所示。
图5 svchost.exe进程是用户进程
(3)找到病毒启动项
蠕虫病毒通常会加载到注册表的自启动项中。通过查找可以发现在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Safedrvse.exe中存在病毒启动项。
2. Safedrvse.exe病毒手工清除
在掌握Safedrvse.exe病毒的关键行为之后可以对其进行手工清除。
(1)找到并关闭病毒进程svchost.exe。
(2)删除C:\Program Files\Common Files下的病毒文件副本。
(3)删除各个盘符根目录下的病毒副本文件。
(4)删除注册表中的病毒启动项。
(5)在C:\Program Files\Common Files\创建免疫文件夹Safedrvse.exe,阻断病毒的运行和繁殖述。
(6)重新启动系统检查病毒是否清除干净。
3. Safedrvse.exe病毒程序清除
除了手工清除病毒的方法外,还以编写批处理程序来完成病毒的清除。主要内容如下:
@echo off
taskkill /f /fi “username eq Administrator” /im svchost.exe /t
c:
attrib Safedrvse.exe -a -h -s
del /s /q /f Safedrvse.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
attrib C:\Program Files\Common Files\Safedrvse.exe -a -h -s
del /s /q /f Safedrvse.exe
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V sxs.exe /f
reg delete HKLM\Software\Microsoft\windows\CurrentVersion\explorer\Advanced
\Folder\Hidden\SHOWALL /V CheckedValue /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SH OWALL /v “CheckedValue” /t “REG_DWORD” /d “1” /f
exit
4.结束语
通过建立病毒分析的平台,可以有效的对蠕虫病毒的关键行为进行跟踪分析。在掌握了病毒的关键行为之后,才能制定出有效的病毒清除和免疫的方法。
参考文献:
[1]李治国.计算机病毒防治实用教程.机械工业出版社.2011.10.
[2]朱明,徐骞,刘春明.木马病毒分析及其检测方法研究[J].计算机工程与应用,2003(28).
[3]王战浩.木马攻击与防范技术研究[D].上海交通大学,2007.