自己处理一个病毒的过程 - 病毒木马 - - 网络安全 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 病毒木马 » 自己处理一个病毒的过程 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

bubble4629 性别:男

新新人类

帖子 7
精华 0
无忧币 67
积分 15
阅读权限 20

注册日期 2008-2-2

最后登录 2008-5-13

离线

[查看资料] [发短消息] [Blog]

发表于:2008-3-1 20:06　　标题：自己处理一个病毒的过程
＜上一帖 | 下一帖＞

现用一个实例介绍如何手动删除病毒IGM.exe的过程和思想：
便于对比，首先记住没有中病毒时计算机中运行的正常进程如下图所示：

然后使计算机感染IMG.exe病毒，此时可以发现计算机运行缓慢，对于网络版杀软的实时监控关闭，单机版杀软直接关闭，停止运行，防火墙出现异常情况，程序报错关闭，系统时间停止走动，arp解析出错，虽然ICMP有回响，但不能访问Internet，部分PE文件不能执行。再次重新启动计算机，发现系统进程表如下图所示出现木马群，进程如下所示：

对于进程Kvsc3.exe，MsiMMs32.exe，Cmdbcs.exe，AVPSrvexE.exe，MsPrint32D.exe，WmFrom.exe，NVDispDrv.exe，DbgHIp32.exe再加上IGM.exe和Swchost.exe等构成了这个病毒的主要特征和它的实现的功能以及IGM.exe的守护程序等。
现就对IGM.exe进行扫描确定该程序是否变形即加壳使用前面介绍的language2000可以看到如下所示

在上图上我们可以看到压缩/加密哪一栏程序中指示是用的ASPack进行变形的，采用专门的脱壳工具AspackDie V1.14可以对其进行解密操作或是叫脱壳，然后我们利用PE explorer或是Ollydbg v1.10对IGM.exe进行反编译可以得到如下信息：
0012EEAC UNICODE "avzxemn.dll"
77E15608 UNICODE "AppInit_DLLs"
0012F634 UNICODE "\Image File Execution Options\user32.dll"
就针对上诉的几个地址对应的文件名我们在%systemroot%\system32在可以找到avzxemn.dll这个文件，在通过对avzxemn.dll文件的反编译可以发现如下信息：
L00404D70:
SSZ00404D74_avzxemn_dll:
    db 'avzxemn.dll',0
SSZ00404D80_avzxein_dll:
    db 'avzxein.dll',0
SSZ00404D8C_avzxetm_dll:
    db 'avzxetm.dll',0
这样就可以找到avzxemn.dll、avzxein.dll、avzxetm.dll其中一个或几个动态连结库文件，这些动态连结库文件是病毒生成的守护进程文件，并且通过AppInit_DLLs直接插入到winlogon.exe进程中，由于是驱动级进程，该程序拥有ring0的权限，由此可以禁止或kill掉杀毒软件实时监控进程，使自生免杀。我们这时需要先结束IGM.exe的进程，然后在到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\windows 项下把AppInit_DLLs键改成空即可。然后在安全模式下或者windows恢复控制台下将其删除就可以了。同时根据经验将病毒文件的创建日期显示并观察，发现在该目录下还有一些动态库是同时生成，即avwgemn.dll、avwgein.dll、avwgetm.dll这几个，然后再对avwgemn.dll进行反编译发现大量信息，现只给出以下部分：
L00404D70:
SSZ00404B00_avwgemn_dll:
    db 'avwgemn.dll',0
SSZ00404B0C_avwgein_dll:
    db 'avwgein.dll',0
SSZ00404B18_avwgetm_dll:
    db 'avwgetm.dll',0
L004046BF:
SSZ004046D4_SeDebugPrivilege:
    db 'SeDebugPrivilege',0
    Align 4
SSZ004046E8_TQAT_exe:
    db 'TQAT.exe',0
    Align 4
SUB_L004046F4:
    push ebx
    add esp,FFFFFE00h
    mov ebx,esp
    push SSZ0040480C_CLSID_
    push ebx
    call jmp_kernel32.dll!lstrcpyA
    push L00407028
    push ebx
    call jmp_kernel32.dll!lstrcatA
    push SSZ00404814__InprocServer32
    push ebx
    call jmp_kernel32.dll!lstrcatA
就上诉的情况和前一个动态库很相似，同时也会在注册表中的下列位置插入一个键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks里面有关于avwgemn.dll的定义和启动，并在任务管理器中表现为在explorer.exe进程中有avwgemn.dll这个线程插入，因此可以断定该文件也是病毒，该动态库还会生成两个可执行文件TQAT.exe 和ElementClient.exe经过百度查询发现是“网游盗贼14452” 木马程序，在安全模式下删除即可。
到此IGM.exe病毒宿主程序就清除掉了，就残余的病毒Kvsc3.exe，MsiMMs32.exe，Cmdbcs.exe，AVPSrvexE.exe，MsPrint32D.exe，WmFrom.exe，NVDispDrv.exe，DbgHIp32.exe，Swchost.exe都是用来配合TQAT.exe进行盗号使用的，在计算机启动时运行实现自身功能后全部销毁自身窗口，因此主要精力就放在了阻止上诉程序运行，使用msconfig工具在启动选项卡里将其禁用就可以实现上诉程序的自启动了，然后在安全模式下将其删除就可以了，再使用SREng（System Repair Engineer）系统修复助手