病毒与反病毒,这学期的一个专业选修课。留个作业,自己弄个病毒分析一下再手动查杀,写个分析报告。同学在学校机房抓了个简单的auto病毒,试试玩玩。

—————-其实啥也不会————–

病毒样本:学校机房的简单Auto.exe病毒,样本包括 auto.vbs, Auto.exe, autorun.inf三个文件。

系统环境环境配置:

  • Sun VirtualBox虚拟机+WinXP Sp3精简版;
  • System Safety Monitor(SSM)HIPS主动防御软件,用于监视病毒激发的动作;
  • Autoruns查看系统启动项软件;
  • IceSwordcn冰刃,查看隐藏目录。

病毒激发中毒后症状:

  1. 在各个盘下面生成auto.exe和autorun.inf文件,属性隐藏。
  2. 释放病毒文件到C:\WINDOWS\system32\C8A2BB40.EXE,属性隐藏,同时生成一个假的病毒文件n1215014078k.exe(名字应该是随机生成),这个可以轻易删掉,迷惑用户。
  3. 在系统服务里加载HKLM\SYSTEM\CurrentControlSet\Services\1E87CA0服务,服务项名称为1E87CA0,指向病毒文件C:\WINDOWS\system32\C8A2BB40.EXE,并设置为自启动。
  4. 启动项没有添加,因为病毒自启动文件加载在系统服务里,更有隐蔽性。
  5. 修改文件夹选项里隐藏文件设置,显示隐藏文件不可用,即时选中显示隐藏文件也会被病毒自动改为不可见,不能看见隐藏文件,隐藏病毒体。

由上面病毒激发的动作可以看出,这只是一个很简单的autotun病毒,并没有大的症状,因而查杀时候也很简单。过程:

  1. CMD下面删除C:\WINDOWS\system32\C8A2BB40.EXE文件 del /f /a C8A2BB40.EXE,同样方式删除C:\WINDOWS\system32\47CAE1E0.DLL文件
  2. CMD删除各个盘目录下面auto.exe和autorun.inf文件
  3. 注册表删除相关项HKLM\SYSTEM\CurrentControlSet\Services\1E87CA0, 重启即可。

总结:从病毒激发过程和查杀过程可以看出这是一个很简单的autorun病毒,而且没有病毒自身保护,所以查杀时候直接删掉病毒体C8A2BB40.EXE即可,并不会自我保护重新生成病毒,估计是学生自己学习编写的一个简单样本,也没有什么实际的破坏作用。通过手动查杀过程,学习了手动杀毒的流程,收获了一些病毒查杀经验。

——————–忽悠结束—————–

很没有步骤也没有条理的分析,跟网上高手的分析差距十万八千里的十万八千里,平时中个U盘病毒其实也会试着去收拾一下,慢慢的就有了点经验,用电脑还是一个习惯问题,好习惯加上一点小技术,It`s Ok!