一種病毒查殺方法的研究

陳攸鑫 林宏澤 高超 鄭玲玲 閩江學院計算機與控制工程學院

1 引言

二十世紀中后期全球首例計算機病毒出現(xiàn)以來，計算機便飽受病毒攻擊的威脅。

在現(xiàn)代計算機技術(shù)發(fā)展地日新月異的背景下，計算機病毒也衍生出各種類型，這使得安全人員對其查殺的難度也越來越大。不過只要努力地去了解計算機病毒的各種特點、 原理，也是能從根本上去治理它?，F(xiàn)在就以一款經(jīng)典的病毒——熊貓燒香病毒來進行查殺探討。

熊貓燒香病毒，短短兩個月，通過連續(xù)入侵個人計算機、感染網(wǎng)站、破壞數(shù)據(jù)系統(tǒng)等行為，使得數(shù)量龐大的計算機用戶蒙受了巨大的損失，被《2006 年度中國大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全報告》評為“毒王”。通過研究該典型病毒，能為我們深入研究病毒起到一個很好的啟蒙作用。

2 行為特征

2.1 行為綜述

事實上，之所以稱該病毒為熊貓燒香病毒，是因為計算機如果中毒，那么其中的可執(zhí)行程序文件的圖標便會被熊貓燒香圖案替換。但該病毒僅會替換可執(zhí)行文件夾的圖標，卻無害于對系統(tǒng)本身。而變種的熊貓燒香卻危害巨大，用戶的個人計算機中毒后將會出現(xiàn)無故藍屏、頻繁性重啟等行為。更嚴重的是，熊貓燒香病毒的其他變種甚至能夠借助局域網(wǎng)網(wǎng)絡(luò)傳播。這種情況下，局域網(wǎng)絡(luò)系統(tǒng)中大量的計算機都有可能被感染，陷入癱瘓?？偟膩砜?，它能感染系 統(tǒng)中exe，com，pif，src，html，asp等文件，它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的備份文件。

2.2 行為分析

行為分析在反病毒中的應用原理,就是在應用程序運行過程中,檢測其是否具有病毒的行為特征。

經(jīng)過利用Process Monitor對該病毒進行了全面的行為特征檢測，其特征可以總結(jié)歸納為以下八點：

①“spoclsv.exe”可執(zhí)行程序會被熊貓燒香病毒本自身創(chuàng)建，文件根路徑為”C：WINDOWSSYSTEM32DRIVERSspovlsv.exe”。

②熊貓燒香病毒在命令執(zhí)行環(huán)境之下，利用net share指令解除文件共享。

③注冊表啟動項里的安全類軟件相關(guān)信息將會被徹底刪除。

④在注冊表的CurrentVersion Run下創(chuàng)建了svcshare這個自啟動項，用于開機時啟動位于“C：WINDOWSsystem32driversspovlsv.exe”目錄下的病毒文件。

⑤注冊表里的關(guān)鍵參數(shù)將被修改，使得被創(chuàng)建的隱藏文件不可通過一般的設(shè)置便進行顯示，比如熊貓燒香病毒將關(guān)鍵參數(shù)CheckdValue的鍵值便設(shè)置為0等。

⑥病毒將本體復制到C盤這類的根目錄之下，以“setup.exe”將其命名。與此同時，新建一個自啟動文件autorun.inf，且利用AutoRunOpen用于病毒的自啟動。以上文件均為隱藏文件。

⑦在某些文件目錄之下，病毒新建了如Desktop_.ini一般的隱藏文件。

⑧查看網(wǎng)絡(luò)信息，發(fā)現(xiàn)該病毒不斷向外部進行網(wǎng)絡(luò)請求連接，不斷發(fā)包。當病毒發(fā)現(xiàn)本身成功地與局域網(wǎng)上其他主機進行通信后，便將本體復制并利用計劃任務激活病毒程序。

3 手動查殺

在利用手工查殺的方法來解決熊貓燒香病毒之前，我們需要知道手工查殺的一般流程。

3.1 手動查殺通用流程

排查可疑的進程：病毒通常會創(chuàng)建出單個或者若干個進程，所以要求查殺者能夠區(qū)分出由病毒創(chuàng)建的進程，接著結(jié)束可疑進程。

檢查注冊表啟動項：為了能夠?qū)崿F(xiàn)自啟動的需求，病毒一般會使用某些方式將本體添入到啟動項之中，進而完成自啟動。因此啟動項中的病毒信息需要被徹底清除，從根源解決問題，使病毒不再自啟動。

清除病毒的本體：從檢測啟動項步驟中，能夠確定病毒的本地路徑信息，從根源上清除病毒本體文件。

修復被破壞文件：一般來說，該步驟并不是手工查殺病毒的重點，要進行該步驟還需要相對應的軟件進行輔助修復。

3.2 熊貓燒香手動查殺

自Windows XP系統(tǒng)開始，微軟操作系統(tǒng)自帶進程管理命令tasklist和taskskill分別具有進程查詢和結(jié)束功能。使用taskkill命令配合/f 、t 兩個參數(shù)，便可關(guān)閉病毒程序。

3.2.1 針對熊貓燒香病毒本身創(chuàng)建一個名為“spoclsv。exe”的進程的行為。查殺者必須檢測目前系統(tǒng)正運行的進程，尋找并結(jié)束病毒所創(chuàng)建的進程，而且要將該進程在硬盤中創(chuàng)建的隱藏文件刪除。

3.2.2 針對熊貓燒香病毒在系統(tǒng)注冊表目錄Current VersionRun中，特意創(chuàng)建自啟動項svcshare，用于開機時啟動位于“C：32 drivers SPOVLSV.exe”的病毒文件的行為。查殺者需要對注冊表進行重新修改，修改代碼如下

3.2.3 針對熊貓燒香將本體復制到C盤這類的根目錄之下，以setup.exe將其命名，且新建自啟動文件autorun.inf等行為。查殺者需要全盤檢測病毒創(chuàng)建的文件并刪除。

這里以系統(tǒng)盤檢測舉例，其他盤符以此類推

經(jīng)過上述免疫操作后，實驗證實即使運行了偽裝的病毒可執(zhí)行文件，也不在系統(tǒng)中繼續(xù)感染傳播，也未自 動加載病毒進程，完全達到了免疫的目的。

4 結(jié)語

本文圍繞熊貓燒香病毒,首先充分了解其行為特征，分析其對進程、注冊表、根目錄的修改動作。在理解了該病毒的特征行為基礎(chǔ)上,給出了一般手工查殺病毒的流程以及專用于熊貓燒香病毒的手工查殺流程。通過這種方式，查殺者能對病毒查殺有更深的體會，且為編寫相關(guān)的病毒專殺工具，打下了堅實的基礎(chǔ)。