巧破病毒保護機制

筆者直接打開該優盤，在其中很快找到了名為“polycing.exe”的處于隱藏狀態的可疑程序，在其右鍵菜單上點擊“掃描病毒”項，執行手工檢測操作，可是該殺毒軟件卻顯示沒有發現病毒文件?？磥恚摎⒍拒浖墓αΣ粔?，于是將其卸載換裝了另外一款口碑不錯的殺毒軟件，對該優盤進行查殺，仍然沒有發現病毒信息。由此得出結論，該病毒不是經過加殼處理，就是經過特殊的免殺處理，讓殺毒軟件無法準確判斷其身份。靠人不如靠己，筆者決定手工將其清除。

筆者在虛擬機中運行了該程序，觀察其行為特點，發現中毒后系統每隔一段時間硬盤就會出現一個使用高峰，硬盤燈頻繁閃爍，CPU占用率居高不下，似乎有程序長時間讀取硬盤數據，而且殺毒軟件無法正常運作，實時監控模塊無法正常打開。運行XueTr這款安全工具，在進程列表中除了發現很明顯的病毒進程外，還發現一個名為“polycing.exe”隱藏進程，看來病毒將自身隱藏起來了。

當開機后，系統會顯示無法查看某文件的錯誤信息，當連入優盤、移動硬盤等設備后，雙擊移動存儲設備盤符后，系統運行速度明顯變慢。在其根目錄下會出現幾個來歷不明的文件，即使手工將其刪除，但是不久之后這些可疑文件又會自動出現，而且無法按照正常方式移除USB設備，只有手工將其強制拔出。要想清除病毒文件，需要了解其對系統做了哪些手腳。

使用SREng、瑞星聽診器等工具，可以對系統進行智能掃描并創建安全報告，對其進行分析，就可以讓病毒露出馬腳。這里以瑞星聽診器為例進行說明，在其主界面中點擊“開始掃描”按鈕，該工具可以對系統方方面面進行安全檢測。當掃描完畢后，會在統一目錄下生成名為“瑞星聽診信息.htm”的報告文件。將其打開后，在“未知家族病毒分析”欄中顯示檢測到的未知病毒信息，在“系統活動進程”欄中顯示當前的所有進程信息，而且針對每一個進程列出其加載的DLL模塊信息。在“普通自啟動項”欄中顯示包含在注冊表中啟動項信息。

在“AppInit_DLLs”欄中顯示加載的初始化動態鏈接庫信息，在“系統文件關聯”欄中顯示常用文件類型的關聯信息，在“其它啟動項”欄中顯示比較隱蔽的啟動項信息，在“WinLogon啟動項”欄中顯示和系統登錄有關的啟動項。在“IE-BHO”欄中顯示IE的相關插件信息，在“Winsock SPI”欄中顯示和網絡底層配置相關的文件信息，在“系統服務項”欄中顯示全部系統服務信息，在“文件驅動”和“系統驅動項”欄顯示全部的驅動文件信息。在默認情況下，正常的檢測項目會以綠色進行顯示，對于可疑的項目，會以亮白方式顯示。結合以上檢測報告，可以發現該病毒對系統所做的小動作。在啟動項中發現了很多的病毒木馬項目，主要用來執行感染文件，盜取數據等非法操作。

由此可見，該病毒程序并不是單獨行動，而是一個下載工具，當其運行后，會不定時的從網上下載大量的病毒木馬程序來對系統進行滲透和破壞。而且在不同的虛擬機中進行的測試表明，該病毒文件會隨機下載不同的病毒木馬文件，即每次發作時下載的不法程序不盡相同。運行XueTR這款安全利器，在其主界面中打開“服務”面板，在其中發現一個名為“netersvc”的服務非?？梢?，其顯示名稱為“Network Error Repair”，從表面上看似乎用來修復網絡錯誤，其實這是病毒的一個幌子，其真實用途是在系統啟動時自動激活病毒程序。另外一個名為“601D51FA”的服務看上去就極為可疑，可以斷定是配合上述病毒服務活動的。根據啟動項中提供的信息，在各磁盤的根目錄下發現了病毒創建的“Autorun.inf”文件，“polycing.exe”等文件，在“C:Windows”文件夾下發現了名為“avpsrv.e x e”、“c m d b c s.e x e”、“mppds.exe”、“msccrt.exe”、“upxdnd.exe”、“kvsc3.exe”、“winform.exe”、“cnzz.exe”等病毒文件，而且在“C:WindowsSystem32”目錄中會發現了與這些文件名稱相同的DLL文件。在“C:WindowsSystem32”目 錄 下 發 現 了“mh100”、“mh100.dll”、“nwizasktao.exe”、“nwizasktao.dll”、“nwizhx2.exe”、“nwizhx2.dll”、“nwizqjsj.exe”、“nwizqjsj.dll”等病毒文件，在“C:Windowssyswm7”目錄中發現名為“ghook.dll”、“svchost.exe”等 病 毒文件，點擊“Win+R”鍵，輸入“%temp%”，回車打開臨時文件夾窗口，在其中發現名為“c0nime.exe”、“gjzo0.dll”、“upxdnd.exe”、“upxdnd.dll”等病毒文件。這些病毒文件幾乎都處于隱藏狀態，其中一部分是病毒自身產生的文件，一部分是病毒下載的惡意程序。所以需要先在文件夾選項窗口中選擇“顯示所有文件和文件夾”項，不選擇“隱藏受系統保護的文件”項，才可以將其顯示出來。

經過分析，發現病毒會將下載的惡意程序先放到IE臨時文件夾中，然后才會執行或者釋放病毒木馬文件，其創建病毒文件的方式有些特殊，先在“C:Windows”目 錄 下生成病毒程序，然后在“C:WindowsSystem32”目錄中創建與之同名的DLL文件。當病毒EXE程序激活后，會將與之同名的DLL文件插入到“explorer.exe”進程中，之后自動終止該病毒EXE程 序，潛 伏 在“explorer.exe”中的病毒DLL模塊就可以執行盜取數據，破壞正常文件等操作。

為了防止用戶清理病毒，病毒不僅會在各磁盤根目錄下 創 建“Autorun.inf”文件和病毒程序，讓用戶在雙擊磁盤時自動激活病毒外，還會在“C:Windows”和“C:WindowsSystem32”目錄中創建“5abeb2609.exe”、“5abeb2609.dll”、“k0115114194.exe” 等 文件，用來創建上述病毒服務，當開機后病毒服務就會搶險加載運行，將病毒DLL模塊插入到系統進程中，對病毒的活動進行全程保護。

注意：在不同的電腦上運行時，病毒創建的上述文件的名稱可能會隨機產生來逃避用戶的檢查。

了解了病毒的行為特點后，接下來就可以手工將其清除。為了便于觀察病毒活動，運行了FileMon這款小巧強悍的監控程序，可以全面實時記錄不同進程針對文件進行的添加、修改、刪除等動作，用來監視病毒活動很有效。

在XueTr主界面中的“本工具配置”面板中勾選“禁止創建進程”和“禁止創建線程”項，禁止病毒啟動非法進程。之后在“進程”面板中強制關閉所有非系統進程，包括“explorer.exe”進程，只留下系統基本進程，讓系統可以正常運作。利用XueTr內置的注冊表管理器，將注冊表中和病毒相關的啟動項逐一刪除，經檢測后發現病毒沒有自動恢復刪除的啟動項，但是在XueTr中的服務列表中禁止病毒服務后，發現病毒服務又自動啟動了?？磥?，一定有病毒程序在按照對其進行保護。

當使用XueTr自帶的文件管理器刪除上述病毒文件時，根據Filemon提供的監控信息，發現當刪除各磁盤根目錄下中的“Autorun.inf”和其它病毒文件后，這樣文件又奇怪的自動恢復了，經過查看原來是“winlogon.exe”在暗中起作用，該進程不僅可以恢復病毒文件，而且可以自動執行病毒文件。在進程列表的右鍵菜單中點擊“在下方顯示模塊窗口”項，在“Winlogon.exe”進程中果然發現病毒創建的DLL模塊，其名稱為隨機產生的，這樣即使在XueTr中將病毒文件刪除，看起來似乎一切順利，其實病毒暗中的保護機制會悄無聲息地重新激活病毒文件，并從網上下載更多的惡意程序。

根據以上分析，我們大體掌握了該病毒的運行原理，當該病毒運行后，會先建立一個隱藏的病毒進程，之后創建病毒服務，并將病毒DLL模塊插入到合法的系統進程中，對病毒的活動進行保護。當發現本機連上Internet后，病毒進程會每隔一段時間下載一個病毒木馬程序，之后將其激活并運行。因為下載完所有的惡意程序需要一段時間，所以如果不仔細觀察的話很容易被其蒙蔽，因為病毒下載的幾乎都是DLL文件，當其運行后會在“C:Windows”和“C:WindowsSystem32”目錄中創建同名的EXE文件和DLL文件，之后將原始的病毒DLL文件自刪除。當所有的病毒木馬全部系在完成并運行后，系統運行速度就會大受影響。病毒在徹底侵入系統后，會隨機創建一個DLL文件，將其插入到“winlogon.exe”進程中，作用是潛伏在暗處對病毒的活動進行保護。因此，雖然在系統文件夾中出現了一大堆病毒文件，無法進行徹底的隱藏，難免會被用戶發現。不過由于病毒存在保護機制，即使將病毒文件刪除，其保護機制照樣可以重新激活病毒，所以手工清除比較困難。

通過對病毒保護機制的分析可以看出，病毒是通過非法服務向“winlogon.exe”進程中注入病毒DLL模塊，通過該模塊，對各磁盤根目錄下的病毒文件進行保護。保護的手法是每隔一定時間就會檢測病毒文件是否存在，如果不存在的話就會自動重建病毒文件，并為其設置系統和隱藏屬性，并將病毒服務設置為自動運行狀態，讓病毒服務可以順利運作。

當然，病毒采取了創建隱形進程，讓用戶無法在任務管理器中發現其蹤跡。以上種種保護手段，目的就是讓用戶無法順利的將病毒清除出去。

洞悉了病毒的特點，清除起來就相對容易了，最簡單的方法是進入安全模式，在其中使用XueTr等工具，關閉病毒服務，并在注冊表中刪除與該服務相關的信息，將病毒文件全部刪除，或者進入WinPE模式，將全部的病毒文件全部清除，也可以在正常模式下清理這些可惡的病毒，方法是在桌面上建立名為“autorun.inf”的文件夾，之后將各磁盤根目錄下的“autorun.inf”文件刪除，并將該文件夾粘貼到各磁盤根目錄下，并為“Autorun.inf”文件夾設置隱藏只讀屬性。

同理，創建名為“polycing.exe”的文件夾，將其各磁盤根目錄下的“polycing.exe”病毒文件刪除，并將“polycing.exe”的文件夾粘貼到各磁盤根目錄下，并為之設置隱藏只讀屬性。按照同樣的方法，將各磁盤根目錄下的所有的病毒文件均進行刪除，并創建與之同名的文件夾。這樣，隱藏在“winlogon.exe”進程中的病毒模塊就無法恢復病毒文件了。

在XueTr中選擇“禁止創建進程”和“禁止創建線程”項。這樣當關閉病毒進程后，即不怕病毒進程自動激活了。在XueTr的進程列表中關閉所有非系統進程，包括病毒創建的隱身進程，之后在XueTr中刪除所有的病毒文件，卸載和刪除插入到系統進程中的 DLL模塊文件，清除和病毒有關的注冊表項目，禁用病毒服務。建議按下機箱的關機按鈕，再重啟電腦，利用冷啟動操作來徹底讓病毒失去活力。也可以在XueTr的設置窗口中選擇“強制重啟”項，來安全的重啟系統。

對于上述病毒服務，可以在XueTr的“服務”面板中點擊“刪除”按鈕將其清除。也可以可以請出System Repair Engineer這款安全工具來清除，在其主界面左側點擊“啟動項目”項，在右側的“服務”面板中點擊“Win 32服務應用程序”按鈕，在服務列表中選擇病毒服務，選擇“刪除服務”項的，點擊“設置”按鈕，就可以讓病毒服務徹底消失。當清除了病毒文件后，重新進入系統，取消可移動設備的自動播放功能，之后將染毒優盤上的病毒文件全部清除。因為病毒已經將安裝的某殺毒軟件破壞，導致其無法正常運行，所以將該殺毒軟件卸載后重新安裝，即可恢復其活力。