一種病毒查殺方法的研究

陳攸鑫 林宏澤 高超 鄭玲玲 閩江學院計算機與控制工程學院

1 引言

二十世紀中后期全球首例計算機病毒出現以來，計算機便飽受病毒攻擊的威脅。

在現代計算機技術發展地日新月異的背景下，計算機病毒也衍生出各種類型，這使得安全人員對其查殺的難度也越來越大。不過只要努力地去了解計算機病毒的各種特點、 原理，也是能從根本上去治理它。現在就以一款經典的病毒——熊貓燒香病毒來進行查殺探討。

熊貓燒香病毒，短短兩個月，通過連續入侵個人計算機、感染網站、破壞數據系統等行為，使得數量龐大的計算機用戶蒙受了巨大的損失，被《2006 年度中國大陸地區電腦病毒疫情和互聯網安全報告》評為“毒王”。通過研究該典型病毒，能為我們深入研究病毒起到一個很好的啟蒙作用。

2 行為特征

2.1 行為綜述

事實上，之所以稱該病毒為熊貓燒香病毒，是因為計算機如果中毒，那么其中的可執行程序文件的圖標便會被熊貓燒香圖案替換。但該病毒僅會替換可執行文件夾的圖標，卻無害于對系統本身。而變種的熊貓燒香卻危害巨大，用戶的個人計算機中毒后將會出現無故藍屏、頻繁性重啟等行為。更嚴重的是，熊貓燒香病毒的其他變種甚至能夠借助局域網網絡傳播。這種情況下，局域網絡系統中大量的計算機都有可能被感染，陷入癱瘓。總的來看，它能感染系 統中exe，com，pif，src，html，asp等文件，它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的備份文件。

2.2 行為分析

行為分析在反病毒中的應用原理,就是在應用程序運行過程中,檢測其是否具有病毒的行為特征。

經過利用Process Monitor對該病毒進行了全面的行為特征檢測，其特征可以總結歸納為以下八點：

①“spoclsv.exe”可執行程序會被熊貓燒香病毒本自身創建，文件根路徑為”C：WINDOWSSYSTEM32DRIVERSspovlsv.exe”。

②熊貓燒香病毒在命令執行環境之下，利用net share指令解除文件共享。

③注冊表啟動項里的安全類軟件相關信息將會被徹底刪除。

④在注冊表的CurrentVersion Run下創建了svcshare這個自啟動項，用于開機時啟動位于“C：WINDOWSsystem32driversspovlsv.exe”目錄下的病毒文件。

⑤注冊表里的關鍵參數將被修改，使得被創建的隱藏文件不可通過一般的設置便進行顯示，比如熊貓燒香病毒將關鍵參數CheckdValue的鍵值便設置為0等。

⑥病毒將本體復制到C盤這類的根目錄之下，以“setup.exe”將其命名。與此同時，新建一個自啟動文件autorun.inf，且利用AutoRunOpen用于病毒的自啟動。以上文件均為隱藏文件。

⑦在某些文件目錄之下，病毒新建了如Desktop_.ini一般的隱藏文件。

⑧查看網絡信息，發現該病毒不斷向外部進行網絡請求連接，不斷發包。當病毒發現本身成功地與局域網上其他主機進行通信后，便將本體復制并利用計劃任務激活病毒程序。

3 手動查殺

在利用手工查殺的方法來解決熊貓燒香病毒之前，我們需要知道手工查殺的一般流程。

3.1 手動查殺通用流程

排查可疑的進程：病毒通常會創建出單個或者若干個進程，所以要求查殺者能夠區分出由病毒創建的進程，接著結束可疑進程。

檢查注冊表啟動項：為了能夠實現自啟動的需求，病毒一般會使用某些方式將本體添入到啟動項之中，進而完成自啟動。因此啟動項中的病毒信息需要被徹底清除，從根源解決問題，使病毒不再自啟動。

清除病毒的本體：從檢測啟動項步驟中，能夠確定病毒的本地路徑信息，從根源上清除病毒本體文件。

修復被破壞文件：一般來說，該步驟并不是手工查殺病毒的重點，要進行該步驟還需要相對應的軟件進行輔助修復。

3.2 熊貓燒香手動查殺

自Windows XP系統開始，微軟操作系統自帶進程管理命令tasklist和taskskill分別具有進程查詢和結束功能。使用taskkill命令配合/f 、t 兩個參數，便可關閉病毒程序。

3.2.1 針對熊貓燒香病毒本身創建一個名為“spoclsv。exe”的進程的行為。查殺者必須檢測目前系統正運行的進程，尋找并結束病毒所創建的進程，而且要將該進程在硬盤中創建的隱藏文件刪除。

3.2.2 針對熊貓燒香病毒在系統注冊表目錄Current VersionRun中，特意創建自啟動項svcshare，用于開機時啟動位于“C：32 drivers SPOVLSV.exe”的病毒文件的行為。查殺者需要對注冊表進行重新修改，修改代碼如下

3.2.3 針對熊貓燒香將本體復制到C盤這類的根目錄之下，以setup.exe將其命名，且新建自啟動文件autorun.inf等行為。查殺者需要全盤檢測病毒創建的文件并刪除。

這里以系統盤檢測舉例，其他盤符以此類推

經過上述免疫操作后，實驗證實即使運行了偽裝的病毒可執行文件，也不在系統中繼續感染傳播，也未自 動加載病毒進程，完全達到了免疫的目的。

4 結語

本文圍繞熊貓燒香病毒,首先充分了解其行為特征，分析其對進程、注冊表、根目錄的修改動作。在理解了該病毒的特征行為基礎上,給出了一般手工查殺病毒的流程以及專用于熊貓燒香病毒的手工查殺流程。通過這種方式，查殺者能對病毒查殺有更深的體會，且為編寫相關的病毒專殺工具，打下了堅實的基礎。