清除惡意程序引發的思考

引言： 筆者需要使用某款工具軟件，圖省事就在網上隨意下載了該軟件的壓縮包，因為安裝有殺軟和個人防火墻軟件，所以就比較放心的打開該壓縮包，結果導致被惡意程序侵襲，特寫此文，以提醒讀者朋友不能大意。

下載壓縮包后，解壓該注冊機包，雙擊解壓后得到的為“FFN-keygenv9.exe”的程序，彈出注冊界面，看起來一切正常。但是，和殺軟配套使用的某某衛士卻提示“svchost.exe程序試圖將自身添加到啟動項”的信息框。筆者沒有多想就點擊同意了，因為很多軟件都喜歡將自身添加到啟動項中。不過，筆者安裝的某款個人防火墻軟件卻意外退出了，當筆者試圖重啟該防火墻時，系統提示找到不對應的程序。

根據以上跡象，看來定有不法之徒在蠢蠢欲動。馬上啟動殺軟，對全盤進行掃描，不過奇怪的是，殺軟卻報告沒有發現可疑分子。運行“msconfig.exe”程序，在系統配置實用程序窗口中的“啟動”面板中的確發現了名稱 為“Microsoft Wizard”，路徑為“C:Windowssvchost.exe”的可疑啟動項。估計其一定和剛才使用的注冊機有關，于是打開注冊機壓縮包，在其中發現兩個文件，奇怪的是將其解壓后，卻只有一個文件。筆者仔細查看了該壓縮包，發現了其中的問題。兩個文件名稱為“FFN-keygenv9.exe”和“FFN-keygenv9.exe”，乍一看完全一致，其實第一個文件主文件名后面有一個空格，另外一個卻沒有。之所以解壓后只有一個文件，一定是其中一個文件具有系統和隱藏屬性的緣故。打開文件夾選項窗口，在“查看”面板中“隱藏文件和文件夾”下的“顯示所有文件和文件夾”一項消失了。

由此分析，“FFN-keygenv9 .exe”應該是主文件，其具有系統和隱藏屬性，另外一個文件是冒牌貨，當解壓之后，“FFN-keygenv9 .exe”自動隱藏，顯示的是“FFN-keygenv9.exe”文件，雙擊該程序后，它會自動調用處于隱藏狀態的“FFN-keygenv9 .exe”程序，顯示正常的注冊機給用戶，而“FFN-keygenv9.exe”則執行自身的代碼，包括釋放名為“svchost.exe”程序，并將其藏到啟動項中。為了驗證這一想法，筆者在CMD窗口中切換到解壓后的注冊機路徑中，執行“dir /a”命令，果然看到了處于隱藏狀態的“FFN-keygenv9 .exe”文件。接下來就要清除這些惡意分子。首先在CMD窗口中執行“attrib -a -h -s -r *.*”和“del *.*”命令，將注冊機文件全部刪除。之后在任務管理器中找到“svchost.exe”進程，注意其對應的是Administrator賬戶，不要殃及正確的“Svchost.exe”進程。當試圖終止該進程時，卻發現根本無法將其結束。既然這樣，不如來個釜底抽薪，將啟動項中的“svchost.exe”清除。運行“msconfig.exe”程序，將名為“Microsoft Wizard”的啟動項刪除。之后重啟系統，以為這樣就萬事大吉了。不過當重啟之后，系統出現藍屏故障，無法進入Windows。看來問題沒有那么簡單，重啟之后點擊F8鍵，調出系統啟動菜單，選擇“最后一次的正確配置”項，終于可以進入系統。在CMD窗口中進入“C:Windows”文件夾，手工刪除“svchost.exe”程序。之后卻發現所有的EXE程序都無法啟動了。當試圖運行EXE程序時，系統彈出打開方式窗口，讓用戶選擇目標軟件。

其實，以上現象只是說明EXE文件的關聯被惡意修改了。因為之前已經打開了CMD窗口，所有可以正常執行命令。其實，也可以采取將“cmd.exe”更名為“cmd.com”之類的方法，來順利啟動CMD窗口。在CMD窗口中運行“assoc .exe”命令，顯示“.exe=exefile”，看起來沒有問題。但是運行“ftype exefile” 命令，就出現問題了，在正常狀態下。應該顯示“exefile="%1"%*”字樣，但是這里卻顯示為“exefile=C:Windowssvchost.exe "%1" %*”，說明在運行EXE程序前，必須運行已經被刪除的“svchost.exe”才行。執行“ftype exefile="%1" %*”命令，修復了EXE程序的關聯關系，之后就可以順利啟動EXE程序了。因為在運行上述“FFN-keygenv9.exe”程序后，其自動終止并卸載了筆者安裝的某款個人防火墻。筆者就重新安裝了該防火墻軟件，讓其繼續保護系統安全。為了進一步了解該惡意程序，筆者重新運行了“FFN-keygenv9.exe”程序，并在防火墻中對其活動進行了監視，發現該程序釋放出的“svchost.exe”程序，會自動和IP為“XXX.XXX.152.96”遠程主機進行通訊，并向其發送3701個字節數據。

據此，可以清晰的看到該惡意程序的活動特點，先使用障眼法以打開注冊機的名義，將正常的注冊機程序設置為隱藏狀態，之后誘使用戶運行假冒的注冊機程序，在調出正常注冊機的背后，假冒程序釋放出“svchost.exe”程序，并將其放置到啟動項中，同時激活該惡意程序。通過修改EXE文件關聯，將“svchost.exe”程序和EXE程序之間建立聯系，只要運行任意EXE程序，就會激活該“svchost.exe”程 序。“svchost.exe”程序運行后，會修改注冊表中和文件顯示相關的項目，將“顯示所有文件和文件夾”等項目隱藏起來，增加用戶搜索可疑文件的難度。如果用戶安裝有個人防火墻軟件，“svchost.exe”程序就會對其進行終止和卸載操作，目的就是不讓用戶借助防火墻來觀察其非法網絡連接和通訊操作，估計在該惡意程序中已經內置了針對常用個人防火墻的破壞方式。

但是，當您使用殺軟掃描硬盤，試圖清除這些不法分子時，卻沒有發現什么線索。其原因在于這些惡意程序本身不是病毒，倒是和惡作劇之類的惡意程序有些相似，本身沒有太大的破壞力。不是病毒，木馬，蠕蟲等顯眼的不法分子，自然不在殺軟的清除之列。該惡意程序雖然自身帶有某些木馬的特點，但是并沒有危害到系統和數據的安全，清除的方法也不復雜，依照清除與之關聯的啟動項，修復EXE文件關聯，恢復注冊表中和文件隱藏相關的內容，刪除“svchost.exe”程序，重裝被其卸載的個人防火墻軟件就解決問題了。當清除了上述惡意程序，恢復系統正常運行狀態后。筆者引發了一番思考，看來，僅僅依靠殺軟來保護系統安全是不夠的，對于一些帶有惡作劇性質的惡意程序，往往不在殺軟的防御之列。這就要求我們提高防范意識，不斷學習和積累安全防御知識，能夠從一些不起眼的痕跡中發現惡意程序的存在，并分析其特點，找到清除的方法，進而將其從系統中驅逐出去。