15225191462

15225191462(周老师)

.netframework环境下的病毒该如何分析(图文教程)

您当前的位置:首页 > 北大青鸟课程 > .net开发
.netframework环境下的病毒该如何分析(图文教程)
作者:郑州北大青鸟   添加时间:2013-07-18 14:48:56  
简介: 本例讲解了一个运行在.netframework2.0运行环境下的病毒,该病毒不仅修改IE设置,并锁定IE首页,还对系统进程进行了注入,来保护自己能够反复复活。首先,我们来看一下这个病毒程序

 本例讲解了一个运行在.netframework2.0运行环境下的病毒,该病毒不仅修改IE设置,并锁定IE首页,还对系统进程进行了注入,来保护自己能够反复复活。

首先,我们来看一下这个病毒程序的简单分析。
病毒样本介绍
我们先来看一下病毒样本的相关信息,如图1所示。
File:4.exe
MD5:8f97cc356a149265647d4307fb802409
Size:270KB
1.jpg
图1:病毒样本
从图1的截图中来看,有compiled by SFXMake字样,可以看出这个样本实际上是一个自解压程序,如图2所示。自解压程序可以使用winrar或7zip等解压缩工具直接打开,有一些捆绑类的病毒,有时也会制作成自解压形式,将正常的软件程序捆绑一个恶意的病毒样本,通过编写的脚本程序来优先执行病毒样本,只要我们双击运行含有恶意脚本的自解压程序,优先执行的是病毒样本,将导致我们直接中招。当然,我们碰到这类自解压格式的程序时,可以先通过winrar或7zip直接打开它,查看一下这种程序里面是否捆绑有恶意的程序,如果含有恶意程序,在可以将自解压的程序通过winrar或7zip解压出来,删除里面的恶意程序,保留我们所需要的正常软件程序,从而避免系统中招。此外,我们也可以通过杀毒软件进行查杀,用杀毒软件将自解压程序里面的恶意程序查杀掉,保留正常的软件程序,这也是一种非常简单而有效的方法。
2.jpg
图2:用winrar打开4.exe,里面实际上是一个msi程序
MSI文件是windows installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和很多安装情形下安装和卸载程序所需要的指令和数据。MSI文件将程序的组成文件与功能关联起来。我们用winrar直接解压出muzina.msi程序,双击运行之,出现如图3所示的提示。
3.jpg
图3:弹出安装.netframework2.0的提示
在这里,我们就不详细讲解如何安装.netframework2.0了,先下载安装windows intaller3.1,再安装.netframework2.0即可,接下来我们看一下病毒现象。
病毒现象
我们按照上面的方法,安装好.netframework2.0后,直接运行4.exe。4.exe运行一会儿后,我们重启电脑,来看一下这个病毒都对系统做了哪些破坏。我们先来打开ie浏览器看一下,发现ie首页被修改为http://www.filmxizle,org/arama,如图4所示。这是病毒现象之一,修改ie首页。
4.jpg
图4:ie首页被修改为www.filmxizle.org/arama
ie首页被修改了,那看一下桌面的ie快捷方式的属性,能不能通过这里修改一下主页,如图5所示,病毒禁用IE浏览器设置主页功能,主页不可更改。
5.jpg
图5:ie快捷方式就剩一个internet连接,其余各项被禁用
接下来我们运行xuetr,用xuetr来看一下这个病毒创建了哪些进程及启动项等。如图6所示,我们看到xuetr进程列表里有个Skriller.exe,所在路径为C:\Program Files\Internet Explorer\Internet Explorer\Skriller.exe。
6.jpg
图6:病毒在C:\Program Files\Internet Explorer\Internet Explorer\下写入Skiller.exe病毒程序
接下来看一下启动项,如图7所示。病毒在C:\Program Files\Internet Explorer\Internet Explorer\写入Skiller.exe病毒程序并设置为了启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,从而达到开机就运行的目的。
7.jpg
图7:病毒写入的启动项SkrillerMaintance
从图7的启动项来看,文件厂商为mami。此时,这个病毒看起来很简单,只写入一个病毒程序并设置为启动项,修改了ie主页,看似只需用xutre结束进程,删除注册表启动项就解决了。如图8所示,我们选中进程Skiller.exe右键点强制结束进程。在启动项选中启动项SkrillerMaintance,右键点删除(启动信息),如图9所示。重启一下电脑,看一下系统是否正常。
8.jpg
图8:使用xuetr强制结束病毒进程Skriller.exe
9.jpg
图9:删除病毒写入的启动项
重启电脑后,我们打开一个文件夹试试,发现打开文件夹明显有卡顿现象,再用xuetr看一下进程和启动项,如图10所示,发现病毒程序skriller又神奇般地出现了,启动项也又被重新写入,如图11所示,看来我们并没有完全处理掉这个病毒。
10.jpg
图10:打开文件夹,病毒又出现
11.jpg
图11:病毒启动项又被写入
应该是还有其他病毒程序我们并没有处理干净,看似已经处理掉的病毒,打开文件夹后又被触发执行起来了。接下来看一下,是什么原因导致的病毒再次被运行。我们按照前面的方法,先结束进程并删除启动项,用processmonitor监视一下打开文件夹的动作。我们设置过滤规则,操作是进程创建,如图12所示。
12.jpg
图12:设置processmonitor进程创建规则
设置好规则后,我们再打开文件夹,发现processmonitor捕捉到系统进程explorer.exe创建了进程skrill.exe,如图13所示。
13.jpg
图13:explorer.exe创建进程skriller.exe
我们再设置一条设置注册表值如图14所示,发现病毒程序skriller.exe不停地设置ie标签页为http://www.filmxizle,org/arama,如图15所示。
14.jpg
图14:设置processmonitor设置注册表值的规则
15.jpg
图15:skriller.exe不停地修改ie标签页
我们右击图15红框中的记录,点击属性如图16所示,病毒程序修改ie标签页为http://www.filmxizle,org/arama。
16.jpg
图16:病毒设置ie标签页的注册表值为http://www.filmxizle,org/arama
前面我们用processmonitor抓到explorer.exe创建病毒程序skriller.exe,看来explorer.exe进程模块项有问题,我们用xuetr查看一下explorer.exe进程的模块,如图17所示。
17.jpg
图17:查看explorer.exe进程模块
我们看到explorer.exe加载了两个可疑dll模块,C:\Program Files\Internet Explorer\Internet Explorer\mhuzun.dll和C:\Program Files\Internet Explorer\Internet Explorer\Interop.SHDocVw.dll,如图18所示。
18.jpg
图18:explorer.exe加载的两个可疑dll文件
我们选中其中一个dll右键点击定位到模块文件,直接跳转到可疑dll文件所在路径,如图19所示。
19.jpg
图19:定位到模块文件
定位到模块文件路径C:\Program Files\Internet Explorer\Internet Explorer\,我们发现并没有可疑dll文件,如图20所示,看来应该是被隐藏了。
20.jpg
图20:C:\Program Files\Internet Explorer\Internet Explorer\并没有可疑dll文件
我们通过修改工具-文件夹选项-查看,将隐藏受保护的系统文件(推荐)勾取消,选择显示所有文件和文件夹,取消隐藏已知文件类型的扩展名。看一下能否看到病毒程序,如图21所示。
21.jpg
图21:取消系统隐藏设置
取消系统隐藏设置后,我们再来看一下C:\Program Files\Internet Explorer\Internet Explorer\目录下病毒程序都一览无遗,如图22所示。
22.jpg
图22:取消系统隐藏设置病毒程序一览无遗
小结一下病毒的现象,病毒创建skrill.exe,并写入C:\Program Files\Internet Explorer\Internet Explorer\目录下,且设置为开机启动注册表项,同时还写入了mhuzun.dll和\Interop.SHDocVw.dll并注入到explorer.exe等多个进程,同时还会修改ie主页为http://www.filmxizle,org/arama。
手动处理病毒
我们找全了病毒写入的病毒文件,接下来处理起来也就容易多了。除了我们前面提到的用xuetr结束进程删除注册表项外,我们还需要将explorer.exe进程注入的病毒dll用xuetr全局卸载,如图23所示。卸载掉病毒dll模块后,再用xuetr整个删除C:\Program Files\Internet Explorer\Internet Explorer\目录下的病毒文件,如图24所示。
23.jpg
图23:用xuetr全局卸载病毒模块
24.jpg
图24:用xuetr删除所有病毒文件
做完上述操作后,我们重启一下电脑发现再打开文件夹发现没有卡顿现象,用xuetr再看一下系统进程及启动项没有可疑进程,表示病毒被成功手动处理干净。剩下的主页修复问题就交给瑞星安全助手吧,我们使用瑞星安全助手电脑修复功能扫描一下系统,发现ie设置有多项被修改,如图25所示。
25.jpg
图25:瑞星安全助手扫描出ie多项被禁用
点立即修复,用瑞星安全助手成功修复被病毒禁用的ie项,如图26所示。
26.jpg
图26:瑞星安全助手修复ie禁用项
被修复成功的ie快捷方式属性如图27所示。
27.jpg
图27:ie快捷方式属性修复成功
 


在线报名

 姓 名:  *
 性 别:  *
 联系电话:  *
 专业:  *
 qq:  *
Copyright 2015 豫ICP备10022989www.zz-bdqn.com All Rights Reserved 郑州北大青鸟翔天信鸽科技有限公司 版权所有