发布于2022年11月8日2年前 实验目的 1、了解U移动存储型病毒的基本概念 2、掌握U移动存储型病毒的基本原理和防范方法 3、了解分析病毒的一般流程 4、掌握手动清除U移动病毒的基本方法 5、实现实验所提到的命令和工具,得到实验结果 实验原理 U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使用户所有的硬盘完全共享或中木马的病毒;能通过产生AutoRun.inf进行传播的病毒,都可以称为U盘病毒。随着U盘、移动硬盘、存储卡等移动存储设备的普及,U盘病毒也开始泛滥。病毒首先向U盘写入病毒程序,然后更改autorun.inf文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序,那么Window就会运行这个程序,引发病毒。一般病毒还会检测插入的U盘,并对其实行上述操作,导致一个新的病毒U盘的诞生。 实验内容 1、通过“暴风一号”病毒的分析报告了解和学习U移动存储型病毒的行为和特征。 2、通过使用相关手动杀毒工具清除autorun.inf病毒,本实验采用了“熊猫烧香”病毒。 3、通过修改注册表和策略设置防范U移动存储型病毒的传播。 实验环境描述 1、 学生机与实验室网络断开; 2、 VPC1与实验室网络断开; 3、学生机与VPC1物理链路连通; 实验步骤 1、 了解并学习“暴风一号”病毒分析流程 病毒描述:这是一个由 VBS 脚本编写,采用加密和自变形手段,并且通过 U 盘传播的恶意蠕虫病毒。 病毒行为: 自变形: 病毒首先通过执行strreverse() 函数,得到病毒的解密函数: http://ctf.51elab.com/uploads/course_data/2018062515050313/5e281bf5ee4f8b2ae2e5b07d00be6b90.png 解密代码如下: http://ctf.51elab.com/uploads/course_data/2018062515050313/7079df64da318bd9285e91a09e4505b4.png 这段代码会读取脚本文件的注释部分,将其解密之后: http://ctf.51elab.com/uploads/course_data/2018062515050313/d325a5710caf9cf1b57a91c3ebb95123.png 解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。 自复制: 病毒会遍历各个磁盘,并向其根目录写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。 病毒会将系统的 Wscript.exe 复制到 C:\Windows\System\svchost.exe 如果是 FAT 格式,病毒会将自身复制到 C:\Windows\System32 下,文件名为随机数字。 如果是 NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中。 C:\Windows\explorer.exe C:\Windows\System32\smss.exe http://ctf.51elab.com/uploads/course_data/2018062515050313/f7cf61e80a09d06db2c0a259a1a5b3dd.png 改注册表: 病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行 inf,bat,cmd,reg,chm,hlp 类型的文件,打开 Internet Explorer ,或者双击我的电脑图标时,会触发病毒文件,使之运行。 HKLM\SOFTWARE\Classes\inffile\shell\open\Command\ HKLM\SOFTWARE\Classes\batfile\shell\open\Command\ HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\ HKLM\SOFTWARE\Classes\regfile\shell\open\Command\ HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\ HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\ HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\ HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command 病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失。 HKCR\lnkfile\IsShortcut 病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun 病毒会修改以下键值,使病毒可以开机自启动 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 遍历文件夹: 毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏 + 系统 + 只读”属性。同时创建一个快捷方式,其目标指向 vbs 脚本,参数指向被病毒隐藏的文件夹。 由于病毒修改的注册表会使查看隐藏文件的选项失效,也会屏蔽快捷方式图标的小箭头,所以具有很大的迷惑型,让用户误以为打开的是文件夹。 关闭弹出光驱: 每当系统日期中的月和日相等的时候(比如说 1 月 1 日, 2 月 2 日……以此类推),病毒激活时,会每隔 10 秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如 1 月 1 日,每激活一次病毒,就会打开并关闭光驱 1 次; 2 月 2 日,每激活一次病毒,就会打开并关闭光驱 2 次)。 调用其他程序 会调用 mstha.exe 显示如下图片,并且锁定计算机,使用户无法操作。 http://ctf.51elab.com/uploads/course_data/2018062515050313/ba71046ca94262925a22fb8416f58626.png 遍历进程: 如果发现有 regedit.exe 、 taskmgr.exe 等进程,就调用 ntsd 命令结束进程,使用户无法打开注册表编辑器,和任务管理器等一些基本的系统工具。 杀毒方法: 首先利用工具结束掉所有 wscript.exe 以及路径在 C:\windows\system\svchost.exe 的进程。 运行“regedit”,打开注册表编辑器,找到 ”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load” ,查看其内容所指向的路径。在命令行下,运行 del 命令删除脚本文件。 使用 NTFS 文件流相关工具,删除附加在 explorer.exe 和 smss.exe 中的文件流。 使用文件关联修复程序,修复被病毒修改过的文件关联。 删除每个磁盘根目录下的 autorun.inf 以及 vbs 文件。 鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂,建议使用杀毒软件自动查杀。 4、 分析并清除“autorun.inf”病毒 实验工具: 本部分实验采用真实的“熊猫烧香”样本进行,所以不建议在实验中使用U移动存储设备,以防将病毒带出实验环境,污染其他主机。 实验分析工具采用了Wsyscheck工具进行,它是一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等功能一应俱全.其他比较好的工具还有系统安全盾、syscheck.特别说明一下,SysCheck现在已经不更新了,WSysCheck可以说是SysCheck的升级版或强化版.一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。 进程页:红色表示非微软进程,紫红色表示虽然进程是微软进程,但模块中有非微软的模块。 服务页:红色表示该服务一不是微软服务,而且该服务是非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 在使用“校验微软文件的签名”后,紫红色显示未通过微软签名的微软驱动。(可以参考是否是假冒微软驱动,注意的是如果紫红色如果显示过多,可能是你使用的系统是网上通常见的Ghost精简版,这些版本可能精简掉了微软签名数据库。) 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 关于如何将第三方服务排列在一起可以点击标题条”文件厂商”排一下序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 管理页:红色表示内核被HOOK的函数。 实验对象: 熊猫烧香”是一个传染型的DownLoad 使用Delphi编写 该病毒的主要行为: 一.传播 1)、本地磁盘感染 病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行。 文件遍历感染注:不感染文件大小超过10485760字节以上的。 病毒将使用两类感染方式应对不同后缀的文件名进行感染: ①.二进制可执行文件(后缀名为:EXE/SCR/PIF/COM),将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染。 ②脚本类(后缀名为:htm,html,asp,php,jsp,aspx)在这些脚本文件尾加上如下链接(下面的网页存在安全漏洞):</iframe>在感染时会删除这些磁盘上的后缀名为.GHO。 2)、.生成autorun.inf 病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。 3)、局域网传播 病毒生成随机几个局域网传播线程实现如下的传播方式: 当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接。(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒。 二.修改操作系统的启动关联 病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以1秒钟为周期不断设置如下键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare=%病毒文件路径% HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue=0 三.下载文件启动 病毒会以20分钟为周期尝试读取特定网站上的下载文件列表:如:http://wangma.9966.org/down.txt。并根据文件列表指定的文件下载,并启动这些程序. 分析感染特征: 1)、U盘是熊猫烧香的传播途径,在试验过程中将U盘插入已经被感染的熊猫烧香病毒的电脑。确定U盘已经中毒,感染后文件被篡改所有的exe可执行文件都会被篡改,(本实验在虚拟机中进行,确保虚拟机网络连接关闭,解压桌面上worm.nimaya.rar打开程序进行病毒感染)如图: http://ctf.51elab.com/uploads/course_data/2018062515050313/9fc4a4d647b1ce2f7aebede84e452cfb.png 2)、打开%SYSTEM32%\DRIVERS\目录,发现病毒将自身复制到该目录下。 http://ctf.51elab.com/uploads/course_data/2018062515050313/a98919549be71bb2c23f93bb18f26a7d.png 3)、修改注册表(路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe" http://ctf.51elab.com/uploads/course_data/2018062515050313/2be17a9ea40001e71228dc4101374116.png 5)、通过Wsyscheck工具我们可以查看到c盘中的病毒情况。 http://ctf.51elab.com/uploads/course_data/2018062515050313/afcbd70f145e260103f9ee728d1dcfe2.png 我们可以看到,d盘中出现了“setup.exe”的病毒文件和“autorun.inf”文件。当你双击d盘的过程中,很不幸,你的计算机的所有磁盘空间都会被感染。 6)、为了对比实验,我们在实验前对正常情况下的计算机进程和文件情况进行了截图,以方便对比。 感染前进程情况: http://ctf.51elab.com/uploads/course_data/2018062515050313/719790b3f8b499fb28cbde2f4b18c365.png 感染后进程情况: http://ctf.51elab.com/uploads/course_data/2018062515050313/4022b839296dacc385fa3430cf285489.png 通过上面两张图片的对比,我们可以发现,在感染后进程中多出了“spo0lsv.exe”进程,这个进程正是病毒进程。 感染前文件: http://ctf.51elab.com/uploads/course_data/2018062515050313/1d1b796e50ca47ae90d5b89875eef618.png 感染后文件: http://ctf.51elab.com/uploads/course_data/2018062515050313/f706534b4d2c684ecf4e8697d8da0f96.png 从图片中我们可以对比发现:文件系统中多出了“setup.exe”文件和“autorun.inf”文件,并且“setup.exe”文件的修改时间被恶意修改为“2007-01-17”,这是为了更好的隐藏病毒,以防止被发现。 通过上述实验,我们简单的分析出了该病毒的传播过程和感染现象。由于该病毒可以杀死某些杀毒工具进程,下一步我们要解决如何手动杀毒的问题。 5、手动清除病毒 处理方法: 1)、利用wsyscheck工具找出并结束可疑进程:“spo0lsv.exe”,为了保证计算机重启后病毒文件不再生成,这里选择将两文件直接添加到重启并删除文件列表。 具体步骤:在wsyscheck界面选中病毒进程,右键,在菜单列表中选择“添加到重启并删除列表”。 2)、通过wsyscheck的“文件管理”功能,将上面已经发现的C盘和U盘下两个病毒文件“spo0lsv.exe”和“autorun.inf”也一并发送到重启并删除文件列表。 具体步骤:类同第一步。 3)、删除病毒启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe" 具体步骤:在注册表中找到上述位置,删除之。 4)、上述操作已将明显地病毒文件处理掉,为了保险起见,先不着急重启计算机,我们再做进一步搜查,试着揪出隐藏更深的病毒文件。通过对文件夹的翻查,以文件创建时间为初步判断是否为病毒的依据,找到所有的“spo0lsv.exe”或“setup.exe”,确定为病毒文件的,将病毒文件删除。 5)、进入wsyscheck的“安全检查”—“重启删除文件”栏目,可以看到之前添加的所有需重启删除的病毒文件,点击“执行重启删除”执行计算机的重启操作 http://ctf.51elab.com/uploads/course_data/2018062515050313/ff02e460b33f788fdc2ea7b525f12a81.png 6)、重启后用Wsyscheck检查,发现进程中已经没有病毒进程,任务管理器可以重新启动,说明已经清除干净。通过上述手工处理病毒的过程不难看出,病毒通过Autorun.inf文件激活“XXX.exe”进程达到感染各个盘符、释放其他病毒文件的目的,只要结束病毒进程并找到所有病毒文件一次性删除,重启计算机后便会还你一个干净的系统。掌握这种手工杀毒的思路后,处理方法其实大同小异,更多的是灵活运用以及相关经验。杀毒后需要进行文件的恢复工作,建议使用相关工具。 6、修改设置防范U盘病毒 防范U盘病毒的方法有很多,(自行尝试)下面介绍一种常用的安全方法: 1)、一般来说当我们把光盘或者U盘插到员工计算机后系统会马上出现一个自动播放的对话框,让我们选择打开方式,这种自动播放功能很容易造成病毒的入侵,所以说首先我们要关闭系统的自动播放功能来封杀病毒传播途径。 http://ctf.51elab.com/uploads/course_data/2018062515050313/c6c9be324419c2a33bb335ae5ec209a4.png 第一步:通过系统左下角的“开始”->“运行”->“输入gpedit.msc”,单击“确定”按钮,打开“组策略”窗口. http://ctf.51elab.com/uploads/course_data/2018062515050313/33dc06798df247e1556dec43a36fc5e6.png 第二步:在左窗格的“本地计算机策略”下,展开“计算机配置->管理模板->系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”。 http://ctf.51elab.com/uploads/course_data/2018062515050313/737fd66cd9743ee28868bba392d53f07.png 第三步:单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭“组策略”窗口。当然模式是CD-ROM驱动器,如果仅仅保持默认的话我们将无法杜绝U盘的自动播放。 http://ctf.51elab.com/uploads/course_data/2018062515050313/002234118208fec84cc6f452f14a9395.png 7.实验完毕,关闭虚拟机和所有窗口。
创建帐户或登录后发表意见