驅逐病毒恢復IE活力

2016-03-14 16:10:59

網絡安全和信息化 2016年8期

引言：最近當筆者使用IE上網沖浪時，當打開某個網站后，IE莫名其妙的自動關閉了。當筆者再次打開IE時，發現自動進入一個內容很雜亂的站點，毫無疑問主頁被惡意修改了。

最近當筆者使用IE上網沖浪時，當打開某個網站后，IE莫名其妙的自動關閉了。當筆者再次打開IE時，發現自動進入一個內容很雜亂的站點，毫無疑問主頁被惡意修改了。而且系統運行速度變得很慢，看來一定是誤入了惡意網站，招來了不法程序的攻擊。筆者重啟電腦，發現系統運行速度變得很卡，在沒有聯網的情況下打開IE，之后在任務管理器中看到IE進程的高達100%，看來，一定是隱藏在IE背后病毒木馬等惡意程序在搗亂。但是，運行筆者安裝的某款免費殺軟，對系統進行掃描檢測后，卻沒有發現病毒的蹤跡。不難看出，這要么是免費殺軟不給力，要么是遇到了新型或者免殺性的病毒。沒辦法，只有自己動手，和病毒進行正面交鋒了。

在任務管理器中仔細查看進程信息，沒有發現可疑進程，看來或者是病毒隱藏了進程信息，或者是病毒沒有將自身文件添加到常規啟動項中。因為在沒有上網的情況下，運行IE都會出現問題，病毒很可能將自身變成系統服務，或者偽裝成驅動文件，來獲得更高級別的運行權。運行“msconfig”程序，在系統配置實用程序窗口中的“服務”面板中勾選“隱藏所有的Microsoft服務”項，只顯示所有非系統服務。果然發現一個名為“Network Update Service”服務很可疑，因為從表面上看起來這似乎是和系統網絡配置相關的服務，但實際上系統根本沒有此類服務。

運行“services.msc”程序，在服務管理器中雙擊該服務，在起屬性窗口中發現其服務名稱為“wmidxsvc”，描述信息為“這是和系統網絡配置相關的項目，用來設定網關參數，以及為網絡共享服務提供便利，如果此服務被禁用，任何依賴它的服務將無法啟動。”毫無疑問，這就是病毒創建的服務，虛假的描述信息只是在欲蓋彌彰罷了。筆者決定順藤摸瓜，將不法程序一網打盡。選中該子健，在右側窗口中的“ImagePath”項中發現與其關聯的程序路徑為“%SystemRoot%System32wexpent32”。先在文件夾選項窗口中選擇“顯示所有文件和文件夾”項，同時取消“隱藏受保護的操作系統文件”項，這樣可以輕松顯示所有的隱藏文件。進入“C:WindowsSystem32”文件夾，在其中按照創建日期排序，讓所有新文件顯示在前列。因為病毒創建的文件一般日期較新，很容易查找出來。

但是，該文件并沒有立即現身。筆者覺得有些奇怪，難道起徹底隱形了不成？經過按照名稱順序細致查找，才發現了該文件，原來其創建日期為2009年7月14日星期二上午7:25:06。和普通的系統文件創建日志完全相同，怪不得無法將其按照創建日期排序出來。看來，要么該文件就是系統自帶的文件，要么是病毒將自身文件的創建日期進行了刻意修改，來實現魚目混珠的目的。基于這些考慮，筆者沒有冒然刪除該文件。考慮到病毒也許會冒充驅動程序，從底層侵入系統，筆者決定對驅動文件進行一番檢查。Windows的所有驅動文件默認都存放在“C:WindowsSystem32drivers”文件夾中，因為里面文件很多，無法準確判斷其真偽。

因為系統采用的Ghost備份文件安裝的，原始的Gho文件就存放在硬盤中，運行Ghost Explorer這款軟件，在其主界面中點擊菜單“文件”-“打開”項，選擇目標Gho文件，可以顯示其中包含的完整的系統文件信息，打開其中的之后打開其中的“C:WindowsSystem32drivers”，按照創建時間的順序對兩者的驅動文件信息進行比對分析，很快就發現了名為“nxwmdrv32.sys”的文件極為可疑。查看該文件的屬性，發現其創建的日期為2012年12月7日。這和面提到的“wexpent32”文件的日期并不一致，主要原因筆者系統采用的是Ghost安裝方式，驅動文件是由系統提供的“drive.cab”壓縮解壓后創建的，而“%SystemRoot%System32”中文件是Ghost安裝文件制作者在制作發布時創建的，二者之間并不完全一致。病毒入侵后，在創建非法文件時，會判斷不同文件夾中原始文件的創建日期信息，然后將自身文件的創建日期進行修改，來實現混跡于其間的目的。

在注冊表編輯器中點擊“Ctrl+F”鍵，搜索“nxwmdrv32.sys” 字符串，在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下找到了名為“nxsio32”的子健，在窗口右側的“ImagePath”欄中發現了該文件的蹤跡。根據以上信息，可以判斷這是病毒偽造的驅動文件，為的是獲得高級別的運行權，從系統底部侵入，這樣可以有效避開殺軟的監控。在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下下還發現了“wmidxsvc”子健，其內容和上面提到的可疑服務完全一致。筆者將上述“nxsio32”和“wmidxsvc”刪除。考慮到“nxwmdrv32.sys”和“wexpent32”文件的創建時間不一致，但是同屬一個“派系”，在驅動文件夾中是否存在和“wexpent32”文件創建日期相同的其他可疑文件呢？因為驅動文件一般都帶有數字簽名，于是筆者以“wexpent32”文件創建日期基準，在驅動文件夾中查找與之日期相同的文件，找到幾個符合條件的文件后，逐個查看其數字簽名信息。雖然病毒文件也會為找數字簽名，不過難免存在馬腳。經過仔細排查，果然發現名為“vrddnj.sys”的驅動文件數字簽名漏洞百出，例如沒有版本和公司信息等內容。在注冊表編輯器中搜索“vrddnj.sys”字符串，在“KEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支下找到名為“vrdnj”的子健，在其右側的“ImagePath”欄中顯示了該文件的具體路徑。看來，這也是病毒偽造驅動程序文件。

根據以上分析，將注冊表中和病毒相關的鍵值全部刪除，然后重啟系統，進入安全模式，先關閉系統還原功能，因為病毒喜歡藏身到各磁盤根目錄下的“System Volume Information”文件夾中，來逃避追捕。之后刪除上述所有和病毒相關的文件，當刪除“vrddnj.sys”文件時，系統彈出警告信息，提示該文件正在使用無法刪除。運行注冊表編輯器，查找和“vrddnj.sys”相關的所有項目，果然在“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ”，“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ