一種頑固的U盤病毒的分析及手工查殺

摘 要：U盤病毒是一種比較常見的病毒類型，腳本類型的U盤更因編寫簡單而大受制造者們的親睞。通過分析一種腳本類型的U盤病毒運行機制及查殺方法，來揭開病毒的面紗及為讀者提供手工查殺病毒的思路。

關鍵詞：U盤；腳本；病毒；進程

1 前言

U盤病毒因編寫簡單、傳染簡單而一直占有一定的市場，它不依賴系統的漏洞，也不依賴網絡，在用戶使用U盤傳輸信息的同時不經意地就實施了傳播。U盤病毒可以是一個可執行文件，也可以是一個簡單的腳本文件，甚至可以是一個批處理文件。

2 病毒的運行

下面要介紹的是一種腳本病毒，病毒文件名為 *.vbs， “*”為一個自動產生的隨機數，每次感染產生的數值都不一樣，該病毒主要感染windows XP系統，帶毒的U盤里的自動運行文件autorun.inf被修改如下：

[AutoRun]

Shellexecute=WScript.exe *.vbs “AutoRun”

Shell＼open=打開（o）

Shell＼open＼command=WSscipt.exe *.vbs “AutoRun”

Shell＼open＼Default=1

Shell＼explore=資源管理器（X）

Shell＼explore＼command=WScript.exe *.vbs “AutoRun”

從以上代碼可以看出，無論對U盤進行怎樣的操作——雙擊打開、右擊打開、右擊選擇資源管理器等，都會導致病毒運行，從而使得病毒進一步傳播。

3 病毒的表現及原因分析

被病毒感染了的機器會有如下一些表現：

⑴所有盤符中的一級文件夾變成1KB快捷方式，但雙擊可以打開相應的文件夾，文件夾的目標屬性變成c：＼*.vbs “c：＼windows＼Dir”。由目標屬性的值可分析出，病毒將實際的文件夾隱藏，同時在盤符的根目錄下生成了病毒的備份，并將快捷方式指向文件夾本身和隱藏的病毒文件，使得每單擊一快捷方式病毒被運行一次，同時打開真實的文件夾，不僅讓病毒多次運行，還增強了病毒的迷惑性。如圖1所示。

⑵REGEDIT、CMD等與安全相關的工具窗口打開后立即關閉或打開后稍候幾秒，便自動關閉。病毒中有相關代碼循環關閉REGEDIT、CMD等窗口，使得用戶無法利用這些系統提供的工具檢測及處理病毒的存在，增加了病毒查殺的困難性。

⑶在進程列表中增加了三個進程，分別SVChost.exe（兩個）和WScript.exe，如圖2所示。

圖2中，兩個svchost.exe是病毒的主程序，并且這兩個進程相互保護，刪除其中一個，另一個自動幫助恢復，除非兩個進程同時刪除，這也增加清除病毒的困難性。wscript.exe是系統進程，用于運行腳本程序，在這里用來啟動病毒程序*.vbs。

⑷病毒還污染了兩個系統進程explorer.exe和smss.exe。病毒利用了ntfs文件系統的流式注入法修改了正常文件explorer.exe和smss.exe，如圖3和圖4所示。

4 解決方法

這個病毒因為沒有太強的破壞性和典型性，很多的殺毒軟件都無法查殺，下面根據以上的運行分析來說明該病毒的手工查殺方法。

結束病毒進程是查殺病毒的第一步。因為病毒用兩個進程來相互保護，要結束病毒進程必須兩個進程同時結束，由于系統提供的進程管理工具一次只能結束一個進程，并且被病毒監控，故需要找一個第三方的進程管理工具，如Icesword或Prcmgr等，同時結束兩個用戶名為administrator的Svchost進程和wscript進程。由于病毒污染了系統進程explorer和smss，所以這兩個進程在清除病毒源程序之前也要結束。由于explorer進程是系統的桌面管理進程，結束后只能用命令的方式操作機器，對用戶來說很不方便，故得找一個干凈的explorer和smss程序，在命令模式下替換掉系統中感染了的相應的程序，然后啟動兩個干凈的進程，以顯示桌面。清除感染進程后，不要隨便操作計算機，以免觸發病毒再次運行。

第二步，修改注冊表和文件夾屬性，將隱藏文件和系統文件都顯示出來。真實的文件夾和病毒都在其中，將每一個盤符根目錄下的病毒源文件*.vbs和快捷方式逐一刪除，此時系統中的病毒已經清除，剩下的事情就是恢復系統了。

恢復系統包括兩個方面的問題，一是恢復注冊表，二是恢復真實文件夾的系統和隱藏屬性。注冊表的修復要依賴于用戶平時良好的安全習慣和意識，在對系統作重大改動時，一般都要對注冊表進行備份。對真實文件夾的屬性修改用在圖形界面下已經是無能為力了，需要通過命令的方法進行，用命令“attrib -s -h文件夾名”逐一恢復文件夾的屬性。

最后一步，別忘了對U盤的清理。首先通過組策略關閉U盤的自動播放功能，避免autorun.inf文件去激活病毒，再插入U盤，注意一定不能用雙擊、右擊等方式打U盤，這些操作都會激活病毒。只能在命令提示符下進入U盤，刪除其中的病毒文件、autorun.inf文件、快捷方式，并恢復正常文件夾的文件屬性。

至此，用手工的方法完成了病毒的清除和系統的恢復。

[參考文獻]

[1]http：//baike.baidu.com/view/603374.htm.

[2]張濤.網絡安全管理技術專家門診[M].北京：清華大學出版社，2005.

[3]http：//wenku.baidu.com/view/c7f5e4315a8102d276a22f90.html.

[4]肖軍模，等.網絡信息安全[M].北京：機械工業出版社，2006.

[5]羅詩堯.黑客攻防實戰進階[M].北京：電子工業出版社，2008.