在諸多病毒類型里面最讓人深惡痛絕的就是Rootkit（內(nèi)核型）蠕蟲病毒，許多時候殺毒軟件能檢測到該病毒，但卻無法有效清除。此類病毒的特點是病毒文件為兩個或多個，一個是擴展名為EXE的可執(zhí)行類型文件，一個是擴展名為SYS的驅(qū)動類型文件。EXE可執(zhí)行文件為傳統(tǒng)的蠕蟲病毒模塊，負責(zé)病毒的生成、感染、傳播、破壞等任務(wù)；SYS文件為Rootkit模塊。   

Rootkit也是一種木馬，但它較我們常見的“冰河”、“灰鴿子”等木馬更加隱蔽，它以驅(qū)動程序的方式掛入系統(tǒng)內(nèi)核，然后它負責(zé)執(zhí)行建立秘密后門、替換系統(tǒng)正常文件、進程隱藏、監(jiān)控網(wǎng)絡(luò)、記錄按鍵序列等功能，部分Rootkit還能關(guān)閉殺毒軟件。目前發(fā)現(xiàn)的此類模塊多為病毒提供隱藏的機制，可見這兩類文件是相互依賴的。既然病毒已經(jīng)被隱藏了，我們從何處入手發(fā)現(xiàn)病毒呢？這里就以感染orans.sys蠕蟲病毒的計算機為例，探討如何檢測和查殺該類病毒。  

檢測病毒體文件  

Norton防病毒軟件報告c:windowssystem32orans.sys文件為Rootkit型病毒，這里可以看到使用Rootkit代碼的SYS文件是無法逃過殺毒軟件檢測的。那么是否刪除了該文件就能清除病毒呢，答案是不行的。  

首先在染毒的系統(tǒng)下該文件是受保護的，無法被刪除。即使用戶在安全模式下刪除了文件，重新啟動后，另外一個未被刪除的病毒文件將隨系統(tǒng)啟動，并監(jiān)控系統(tǒng)。一旦其發(fā)現(xiàn)系統(tǒng)的注冊表被修改或病毒的SYS文件遭刪除，病毒就會重新生成該文件并改回注冊表，所以很多時候我們會發(fā)現(xiàn)病毒又重生了。因此需要同時找到這兩個文件，一并處理。但在受感染的系統(tǒng)中，真正的病毒體已經(jīng)被Rootkit模塊隱藏了，不能被殺毒軟件檢測到。這時就需要從系統(tǒng)中的進程找到病毒的蛛絲馬跡。系統(tǒng)自帶的任務(wù)管理器缺少完成這一任務(wù)的一些高級功能，不建議使用。這里向大家推薦IceSword或Process Explorer軟件，這兩款軟件都能觀察到系統(tǒng)中的各類進程及進程間的相互關(guān)系，還能顯示進程映像文件的路徑、命令行、系統(tǒng)服務(wù)名稱等相關(guān)信息。在分析過程中不僅要留意陌生的進程，一些正常系統(tǒng)進程也要仔細檢查，因為病毒常以子進程插入的方式將自己掛到系統(tǒng)正常進程中。在IceSword軟件中以紅色顯示的進程為隱藏進程，往往是內(nèi)核型木馬的進程。  

端口分析也是一種常用的方法，因為病毒常打開特殊的端口等待執(zhí)行遠程命令，部分病毒還會試圖連接特定的服務(wù)器或網(wǎng)站，通過進程與端口的關(guān)聯(lián)，檢測到病毒進程。  

在上面的例子中我們通過比對正常運行的系統(tǒng)和染毒系統(tǒng)很快就判斷出系統(tǒng)中的restore進程為異常進程，該進程的映像文件為c:windowsrestore. exe，這樣我們就找到了病毒體文件。而當(dāng)找到這個文件時，發(fā)現(xiàn)Norton沒有告警，可見病毒文件躲過了殺毒軟件。進一步分析還發(fā)現(xiàn)病毒在系統(tǒng)中添加了一項服務(wù)，服務(wù)名稱為“restore”，可執(zhí)行文件路徑指向病毒文件。  

手工清除病毒  

1.關(guān)閉系統(tǒng)還原功能，右鍵單擊“我的電腦”，選擇“屬性”，在“系統(tǒng)屬性”中選擇“系統(tǒng)還原”面版，勾選“在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”，關(guān)閉系統(tǒng)還原功能。  

2.重新啟動計算機進入安全模式，在“控制面板”→“管理工具”中單擊“服務(wù)”，病毒在這里添加了“restore”服務(wù)，將該服務(wù)禁用。  

3.手動刪除c:windows restore.exe和c:windows system32orans.sys兩個病毒文件。  

4.運行注冊表管理器regedt32. exe，查找注冊表病毒添加的表項。在  

•      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 
•      HKEY_LOCAL_MACHINESYSTEMControlSet001Services 
•      HKEY_LOCAL_MACHINESYSTEMControlSet002Services  

三個分支下發(fā)現(xiàn)病毒添加的 “orans.sys”和“restore” 注冊表項，刪除該表項。  

5.重啟動系統(tǒng)到正常模式，打開系統(tǒng)還原功能，并為系統(tǒng)安裝補丁程序。  

這類病毒的變種很多，從病毒生成的可執(zhí)行文件到注冊的系統(tǒng)服務(wù)、傳播及危害方式都有所不同，這里主要提供一個思路，大家在遇到時能找準(zhǔn)根源解決問題。另外這類病毒多數(shù)是利用操作系統(tǒng)的漏洞或猜解管理員的口令入侵的，有些病毒還能同時利用多個漏洞，逐一嘗試。因此大家要充分意識到打補丁的重要性，同時避免空或弱的管理員口令，降低病毒入侵的機會。

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，謝謝大家對腳本之家的支持。如果你想了解更多相關(guān)內(nèi)容請查看下面相關(guān)鏈接

最新評論