浅析流行病毒的清除课件(PPT 30页).pptx

1、浅析流行病毒的清除浅析流行病毒的清除-江民科技培训2008.03第1页，共30页。这个页面看有什么异常这个页面看有什么异常第2页，共30页。流行病毒流行病毒 No.6 No.6ARP病毒ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。ARP协议的基本功能：通过目标设备的IP地址，查询目标设备的MAC地址。ARP缓存表：在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和M

2、AC地址的对照关系。当一台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。第3页，共30页。ARP病毒的实现机理病毒的实现机理假设一个只有三台电脑组成的局域网，该局域网由交换机假设一个只有三台电脑组成的局域网，该局域网由交换机(Switch)(Switch)连接。其中连接。其中一个电脑名叫一个电脑名叫A A，代表攻击方；一台电脑叫，代表攻击方；一台电脑叫S S，代表源主机，即发送数据的电脑；，代表源主机，即发送数据的电脑；另一台电脑名叫另一台电脑名叫D D，代表目的主机，即接收数据的电脑。，代表目的主机，即接收数据的电脑。第4页，共30页。准备发送数据准备发送

3、数据（1 1）首先查询自身的）首先查询自身的ARPARP缓存表内是否有目标机的缓存表内是否有目标机的ARPARP数据记录。数据记录。第5页，共30页。（2 2）S S电脑会向网内发送广播，询问电脑会向网内发送广播，询问“我的我的IPIP是是192.168.1.2192.168.1.2，硬件地址是，硬件地址是MAC2MAC2，我想知道，我想知道IPIP地址为地址为192.168.1.3192.168.1.3的电脑的硬件地址是多少？的电脑的硬件地址是多少？”准备发送数据准备发送数据第6页，共30页。正常的数据回复正常的数据回复 （3 3）这时，全网络的电脑都收到该）这时，全网络的电脑都收到该ARP

4、ARP广播包了，包括广播包了，包括A A电脑和电脑和D D电脑。电脑。第7页，共30页。实施实施ARP欺骗欺骗 （）但是当此时，沉默寡言的（）但是当此时，沉默寡言的A A电脑也回话了：电脑也回话了：“我的我的IPIP地址是地址是192.168.1.3192.168.1.3，我的硬件地，我的硬件地址是址是 MAC1”MAC1”。第8页，共30页。ARP欺骗成功欺骗成功（）这样就导致以后凡是（）这样就导致以后凡是IPIP地址为地址为192.168.1.2192.168.1.2的的S S电脑要发送给电脑要发送给D D电脑，都将会发送给电脑，都将会发送给MACMAC地址为地址为MAC1MAC1的的A

5、A电脑。电脑。A A电脑竟然劫持了由电脑竟然劫持了由S S电脑发送给电脑发送给D D电脑的数据！这就是电脑的数据！这就是ARPARP欺骗的欺骗的过程。过程。第9页，共30页。ARP病毒检测工具病毒检测工具（1）现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙）Anti ARP Sniffer这个工具软件可以较为快捷的定位ARP中毒电脑 第10页，共30页。ARP病毒检测工具病毒检测工具启动防火墙后，其会自动识别到网关MAC地址，并记录网络内的ARP数据信息。如发现有ARP攻击，其在任务栏的图标会有闪烁并辅以弹出气泡的提示。第11页，共

6、30页。ARP病毒检测工具病毒检测工具 局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。这时，我们再根据欺骗机的MAC地址，对比查找全网的IPMAC地址对照表，即可快速定位出中毒电脑。上图为通过上图为通过ARPARP防火墙检测出感染防火墙检测出感染ARPARP病毒的电脑病毒的电脑MACMAC和和IPIP地址信息。该防火墙还可将攻击日志地址信息。该防火墙还可将攻击日志保存为文本，以便进行打印后核对。保存为文本，以便进行打印后核对。第12页，共30页。ARP病毒检测工具病毒检测工具（2）当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广

7、播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。第13页，共30页。ARP病毒检测工具病毒检测工具从红色框内的信息可以看出，192.168.0.109 这台电脑正向全网发送大量的ARP广播包，一般的讲，局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。第14页，共30页。双剑合璧双剑合璧 以上两种方法有时需要结合使用，互相印证，这样可以快速准确的将ARP中毒电脑定位出来。第15页，共30页。流行病毒流行病毒 No.5 No.5 镜像劫持

8、病毒(进程镜像劫持类病毒)病毒样本名称：trojandownloader.agent.qwctrojandownloader.agent.qwc 病毒特点：强力关闭安全软件，使其无法运行。第16页，共30页。镜像劫持病毒的特征镜像劫持病毒的特征 病毒运行后会自我复制到被感染计算机的系统目录下system32目录，并重新命名为“dllhos.exe”。修改被感染计算机中的注册表键值HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options，其采用进程映像劫持技术，使接近五十种杀毒、安全软件开启时都会按照注册表

9、中的键值启动dllhos.exe，导致安全软件无法正常使用。第17页，共30页。镜像劫持病毒特征镜像劫持病毒特征注册表HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options键值下的内容截图第18页，共30页。流行病毒流行病毒 No.4 No.4 机器狗病毒第一代变种 病毒样本名称：Trojan.DogArp.a 病毒特点：覆盖系统文件，穿透系统还原软件第19页，共30页。机器狗病毒变种第一代的特征机器狗病毒变种第一代的特征 病毒运行后会在被感染计算机的系统目录下System32文件夹内创建一个恶意程序“

10、userinit.exe”，或者直接覆盖原有的“userinit.exe”。该程序为木马下载器，会在被感染计算机的后台连接黑客指定站点获取其它恶意程序，并在下载后自动安装。通过在被感染计算机的系统目录下System32drivers文件夹内释放一个恶意病毒组件“pcihdd.sys”驱动文件。该文件具有创建磁盘IO接口，自动识别系统盘格式，可进行直接读写硬盘操作。具有绕过“冰点还原精灵”、“影子系统”等系统保护软件的功能,可以把把其他病毒植入真实的系统中。第20页，共30页。流行病毒流行病毒 No.3 No.3 机器狗病毒第二代变种 病毒样本名称：trojan/psw.onlinegames.

11、rag 病毒特点：覆盖系统文件，穿透系统还原软件，下载并安装恶意程序。下载并安装恶意程序。第21页，共30页。机器狗病毒变种第二代的特征机器狗病毒变种第二代的特征 通过释放“tmp281.tmp”会覆盖系统目录下System32文件夹“explorer.exe”、“conime.exe”、“ctfmon.exe”文件中开始部分的代码，从而实现其他用途。第22页，共30页。机器狗病毒变种第二代特征机器狗病毒变种第二代特征 通过修改后的系统文件从外网下载并安装恶意程序，释放“phy.sys”可直接挂接磁盘I/O接口，从而对实际硬盘进行直接操作。第23页，共30页。概念解释概念解释替换：把原目标程序

12、的数据代码全部清除掉，用新的数据代码构替换：把原目标程序的数据代码全部清除掉，用新的数据代码构成的新程序来代替以前的整个程序。这样，替换后的程序只有新成的新程序来代替以前的整个程序。这样，替换后的程序只有新程序的功能。程序的功能。感染：在不破坏原目标程序数据代码的前提下，向原目标程序感染：在不破坏原目标程序数据代码的前提下，向原目标程序的数据代码中追加上新程序的数据代码。这样，感染后的程序的数据代码中追加上新程序的数据代码。这样，感染后的程序既有原目标程序的功能，又有新程序的功能。既有原目标程序的功能，又有新程序的功能。覆盖：从原目标程序数据代码的文件头覆盖：从原目标程序数据代码的文件头0地址

13、处开始，向后依地址处开始，向后依次执行覆盖写入新程序的数据代码操作，我们这里只假设原目次执行覆盖写入新程序的数据代码操作，我们这里只假设原目标程序文件远远大于新程序。这样，覆盖后的程序只执行新程标程序文件远远大于新程序。这样，覆盖后的程序只执行新程序的功能，虽然原目标程序的数据代码还存在一部分，但由于序的功能，虽然原目标程序的数据代码还存在一部分，但由于没有被调用，所以不会执行。没有被调用，所以不会执行。第24页，共30页。流行病毒流行病毒 No.2 No.2 机器狗病毒第三代变种 病毒样本名称：TrojanDownloader.Delf.iiuTrojanDownloader.Delf.ii

14、u 病毒特点：穿透系统还原软件，下载并运行恶意程序，可开机自加载。可开机自加载。第25页，共30页。机器狗病毒变种第三代的特征机器狗病毒变种第三代的特征会在被感染计算机系统中的临时文件夹下释放一个恶意驱动文件，命名方式为“*.tmp”，符号“*”表示随机。会自我复制到被感染计算机系统的“Documents and SettingsAll Users开始菜单程序启动”目录下，并以原文件名称保存，同时会将自身保存到真实的物理磁盘中，达到穿透“系统还原保护程序”的目的。病毒运行完毕后可自动删除恶意驱动文件，但该驱动文件仍会驻留在内存中。当用户关闭或重新启动计算机时，这个恶意驱动文件还会把病毒重新再次

15、写入到真实磁盘中对应的“启动”文件夹里。从而使病毒每次开机都可以利用“启动”文件夹来实现开机自我启动运行。第26页，共30页。流行病毒流行病毒 No.1 No.1 磁碟机病毒磁碟机病毒 病毒样本名称：病毒样本名称：Win32/Kdcyy.cbWin32/Kdcyy.cb 病毒特点：强行关闭安全软件，利用病毒特点：强行关闭安全软件，利用ARPARP病病毒进行传播并感染大量文件，消耗系统资毒进行传播并感染大量文件，消耗系统资源，可通过移动存储设备进行传播，破坏源，可通过移动存储设备进行传播，破坏安全模式，注入正常系统进程，可实现随安全模式，注入正常系统进程，可实现随系统一并启动。系统一并启动。第2

16、7页，共30页。磁碟机病毒的特征磁碟机病毒的特征 病毒会强行关闭目前几乎所有安全工具软件、杀毒软件(江民KV2008可以抵御该病毒)。利用“ARP病毒”在局域网中进行自我传播。传播方式：感染了“ARP病毒”的局域网中，除了系统静态绑定MAC地址的计算机，其他系统所下载的所有正常EXE程序文件都是“磁碟机”变种(是名称为“setup.exe”的RAR自解压安装包，运行后就会在用户系统中安装“磁碟机”变种)。在中毒的计算机系统中，什么软件都不运行，CPU占用率还会在50%以上。如果再运行些其他程序软件，CPU占用率就会接近100%，被感染计算机系统会经常死机或长时间的卡住不动。忽略系统盘，然后感染

17、其他盘符的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。第28页，共30页。在所有盘符下生成“autorun.inf”和病毒程序文件体，并且会事实检测保护这些文件。会利用移动设备进行自我传播。破坏注册表，使用户无法进入“安全模式”。破坏注册表，使用户无法查看“隐藏的系统文件”(时时检测保护这个选项)。破坏注册表，使用户注册表启动项失效(部分通过注册表启动项开机运行的安全软件就无法开机启动运行了)。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护。发现病毒文件被删除或被关闭，会马上生成重新运行。DLL组件会插入到系统中几乎所以的进程中加载运行(包括系统级权限的进程)。病毒利用了关机回写技术，在关闭计算机时把病毒主程序体保存到启动文件夹中，实现开机自启动。系统启动后再将启动文件夹中病毒主体删除掉。这样可以隐蔽启动，而不被用户发现。磁碟机病毒的特征磁碟机病毒的特征第29页，共30页。提问时间提问时间第30页，共30页。