典型病毒分析报告
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
1.2、计算机病毒的引导过程
一般包括以下三方面。
(1)驻留内存病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了原系统引导程序的位置,并把原系统引导程序搬移到一个特定的地方。这样系统一启动,病毒引导模块就会自动地装入内存并获得执行权,然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置,并采取常驻内存技术以保证这两个模块不会被覆盖,接着对该两个模块设定某种激活方式,使之在适当的时候获得执行权。处理完这些工作后,病毒引导模块将系统引导模块装入内存,使系统在带毒状态下运行。 对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件一执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。
和HKEY_LOCAL_MACHINESystemCurrentControlSetServices
要删除的注册表项目是wink——?.exe的键值。
同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink——?.exe删除,注意
还必须将回收站清空。删除了相应的病毒文件后,可以重新启动计算机,然后,在KVW3
通常,NetBus服务器端程序是放在Windows的系统目录中,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe或game.exe。可以检查Windows系统注册表,NetBus会在下面的路径中加入自身启动项项: "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键,在任务列表中是看不到它的存在的。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。
2.4、灰鸽子木马病毒
(1)病毒简介、特征及原理
灰鸽子是国内一款著名后门,其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。“灰鸽子”自2001年诞生之后,2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒,甚至有些年度位居“毒王”。它的真正可怕之处是拥有“合法”的外衣,可以在网络上买到,客户端简易便捷的操作使刚入门的初学者都能充当黑客。
黑客可以通过此后门远程控制被感染的电脑,在用户毫无察觉的情况下,任意操控用户的电脑,盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后,可自行删除灰鸽子文件,受害者根本无法察觉。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序,名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(系统盘的windows目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。(G_Server.exe这个名称并不固定,它是可以定制的。)
(2)窃取系统控制权在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
二、典型病毒分析(包括特征、原理及清除办法)
2.1、特洛伊木马——NetBus
NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器,然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃。
000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕虫的程序或者
文件是需要按照提示完全删除的。
在Windows 2000/XP系统下的清除:
清除方法基本和Windows 95/98/ME系统下的清除方法相同:先以安全模式启动计算 机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要删除病毒增加的表项是: wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在 系统目录下将该文件删除。注意该文件是隐含的,必须打开显示所有文件的选择项目 才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
第四步:删除注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\Currentversion\\Run项中名为“avserve.exe”的病毒键值。
第五步:重新启动计算机。
2.3、求职信病毒
(1)特征及原理:Worm.Klez.L是一种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。
典型病毒的分析
班级:来自百度文库
姓名:
学号:
一、计算机病毒
1.1、简介
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其他一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存储空间给你带来麻烦,并降低你的计算机的全部性能。
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将服务器端程序安装到远程机器上(如:通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序)。
特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性,如NetBus 1.60只能使用固定的服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。
有些木马程序在种木马的同时,感染系统文件,所以即使用以上方法去除了木马,系统文件被运行后,会重新种植木马。即使是防病毒软件,也不一定能彻底清除。
上述木马病毒正确的去除方法见下图:
2.2、震荡波病毒
(1)病毒描述
Sasser病毒,中文名为“震荡波”病毒,也有人称之为“杀手”病毒,这是一种蠕虫病毒。它利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其他网络中计算机的IP端口,然后进行传播。
Windows目录下的G_Server.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒,因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
而Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在单击杀毒按钮前就已被干掉,以至于无法带毒杀毒。
中毒电脑出现机器CPU资源被消耗殆尽、系统反复重启等症状。震荡波病毒的具体破坏方式是:在本地开辟后门,监听TCP 5554端口,作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送,黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作以及系统异常等。
1.3、常见病毒发作症状
(1)屏幕异常滚动,和行同步无关。
(2)系统文件长度发生变化。
(3)出现异常信息、异常图形。
(4)运行速度减慢,系统引导、打印速度变慢。
(5)存储容量异常减少。
(6)系统不能由硬盘引导。
(7)系统出现异常死机。
(8)数据丢失。
(9)执行异常操作。
(10) 绑架安全软件,杀毒软件、系统管理工具、反间谍软件不能正常启动。
(2)清除办法:
在WINDOWS 95/98/ME系统下的清除:先运行在WINDOWS 95/98/ME系统下的安全模式
下,使用注册表编辑工具regedit将网络蠕虫增加的键值删除:HKEY_LOCAL_MACHINESof
twareMicrosoftWindowsCurrent VersionRun
(2)病毒清除
第一步:http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,断网安装。
第二步:清除内存中“avserve.exe”的进程。
第三步:清除在系统安装目录(默认为C:\\WINNT)下avserve.exe的病毒文件和系统目录下(默认为C:\\WINNT\\System32) _UP.exe的病毒文件。
1.2、计算机病毒的引导过程
一般包括以下三方面。
(1)驻留内存病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了原系统引导程序的位置,并把原系统引导程序搬移到一个特定的地方。这样系统一启动,病毒引导模块就会自动地装入内存并获得执行权,然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置,并采取常驻内存技术以保证这两个模块不会被覆盖,接着对该两个模块设定某种激活方式,使之在适当的时候获得执行权。处理完这些工作后,病毒引导模块将系统引导模块装入内存,使系统在带毒状态下运行。 对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件一执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。
和HKEY_LOCAL_MACHINESystemCurrentControlSetServices
要删除的注册表项目是wink——?.exe的键值。
同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink——?.exe删除,注意
还必须将回收站清空。删除了相应的病毒文件后,可以重新启动计算机,然后,在KVW3
通常,NetBus服务器端程序是放在Windows的系统目录中,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe或game.exe。可以检查Windows系统注册表,NetBus会在下面的路径中加入自身启动项项: "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键,在任务列表中是看不到它的存在的。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。
2.4、灰鸽子木马病毒
(1)病毒简介、特征及原理
灰鸽子是国内一款著名后门,其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。“灰鸽子”自2001年诞生之后,2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒,甚至有些年度位居“毒王”。它的真正可怕之处是拥有“合法”的外衣,可以在网络上买到,客户端简易便捷的操作使刚入门的初学者都能充当黑客。
黑客可以通过此后门远程控制被感染的电脑,在用户毫无察觉的情况下,任意操控用户的电脑,盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后,可自行删除灰鸽子文件,受害者根本无法察觉。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序,名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(系统盘的windows目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。(G_Server.exe这个名称并不固定,它是可以定制的。)
(2)窃取系统控制权在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
二、典型病毒分析(包括特征、原理及清除办法)
2.1、特洛伊木马——NetBus
NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器,然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃。
000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕虫的程序或者
文件是需要按照提示完全删除的。
在Windows 2000/XP系统下的清除:
清除方法基本和Windows 95/98/ME系统下的清除方法相同:先以安全模式启动计算 机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要删除病毒增加的表项是: wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在 系统目录下将该文件删除。注意该文件是隐含的,必须打开显示所有文件的选择项目 才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
第四步:删除注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\Currentversion\\Run项中名为“avserve.exe”的病毒键值。
第五步:重新启动计算机。
2.3、求职信病毒
(1)特征及原理:Worm.Klez.L是一种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。
典型病毒的分析
班级:来自百度文库
姓名:
学号:
一、计算机病毒
1.1、简介
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其他一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存储空间给你带来麻烦,并降低你的计算机的全部性能。
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将服务器端程序安装到远程机器上(如:通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序)。
特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性,如NetBus 1.60只能使用固定的服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。
有些木马程序在种木马的同时,感染系统文件,所以即使用以上方法去除了木马,系统文件被运行后,会重新种植木马。即使是防病毒软件,也不一定能彻底清除。
上述木马病毒正确的去除方法见下图:
2.2、震荡波病毒
(1)病毒描述
Sasser病毒,中文名为“震荡波”病毒,也有人称之为“杀手”病毒,这是一种蠕虫病毒。它利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其他网络中计算机的IP端口,然后进行传播。
Windows目录下的G_Server.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒,因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
而Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在单击杀毒按钮前就已被干掉,以至于无法带毒杀毒。
中毒电脑出现机器CPU资源被消耗殆尽、系统反复重启等症状。震荡波病毒的具体破坏方式是:在本地开辟后门,监听TCP 5554端口,作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送,黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作以及系统异常等。
1.3、常见病毒发作症状
(1)屏幕异常滚动,和行同步无关。
(2)系统文件长度发生变化。
(3)出现异常信息、异常图形。
(4)运行速度减慢,系统引导、打印速度变慢。
(5)存储容量异常减少。
(6)系统不能由硬盘引导。
(7)系统出现异常死机。
(8)数据丢失。
(9)执行异常操作。
(10) 绑架安全软件,杀毒软件、系统管理工具、反间谍软件不能正常启动。
(2)清除办法:
在WINDOWS 95/98/ME系统下的清除:先运行在WINDOWS 95/98/ME系统下的安全模式
下,使用注册表编辑工具regedit将网络蠕虫增加的键值删除:HKEY_LOCAL_MACHINESof
twareMicrosoftWindowsCurrent VersionRun
(2)病毒清除
第一步:http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,断网安装。
第二步:清除内存中“avserve.exe”的进程。
第三步:清除在系统安装目录(默认为C:\\WINNT)下avserve.exe的病毒文件和系统目录下(默认为C:\\WINNT\\System32) _UP.exe的病毒文件。