经典病毒(SXS.EXE病毒为例)木马入侵全过程(图)和预防方法,SXS.EXE病毒适用于常见AUTORUN病毒和双击盘符打不开的情况。以SXS.EXE病毒为例。
第一部分:病毒作恶行径
寒冰通过ssm监控,总算看清楚了病毒发作的作恶途径与行为,虽然可能由于病毒版本不同而有所差别,但是下面这些截图基本是该病毒的通用行为:
病毒启动前先检查进程中的常用防毒软件程序,寒冰的天网被病毒终结了
[color=#ff0000]
病毒启动另一程序dappvk.exe
生成病毒同名dll文件:dappck.all
病毒dappvk.exe修改注册表启动项,实现开机自启动
病毒dappvk.exe运行C:\WINDOWS\system32下的noruns.reg,内容如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
意思是实现硬盘的自动播放功能,此时如果先禁用硬盘的自动播放功能,除了应用寒冰在3楼提供的助策略修改方法外,也可以通过找到上述位置,把NoDriveTypeAutoRun的值设为ff即可
这时候可以在系统的资源管理器看到病毒进程,好像也有点不高明之处哦,寒冰发现的很多都是会自动隐藏进程的
net.exe stop srservice 表示又一病毒程序试图终止系统的自动还原服务
sc.exe 配置系统的自动还原服务为禁止,所以自动还原功能将无法正常使用
net.exe又同样尝试结束江民的服务
sc.exe配置江民服务为禁止,这就是很多常见杀软中毒后无法正常启动的原因
这个寒冰就不大懂,sharedaccess好像是系统的防火墙服务,yahoo了一下大致解释如下(不知道是否还涉及局域网传播):
SharedAccess(Intemet连接共享和防火墙服务)。
为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务 
结束江民控制台进程
同样,又把该服务设置为"禁用"
注入驱动保护,保护病毒删除后重新生成
配置卡吧服务为"禁止"
结束瑞星进程RsRavmon
设置瑞星的RsRavmon服务为"禁用"
结束瑞星监控进程
同样配置瑞星监控服务为"禁用"
过河拆桥,把自己的兄弟也灭了,免得被人发现,起到更好的隐藏作用
这个步骤就有点莫名了
同时通过Filemon监控,或者其运作过程中会生成qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe,等文件,可是运作后会把这些文件一一删除,同时不停的往C:\windows\system32\写入dappvk.exe和其他非系统盘写入anrun.inf和sxs.exe,如果此时你插入U盘,相信就中招了,所以也是为什么删除后马上又有的缘故.
好像伴随的他还会把信息写入C:\windows\system32\下的qqhx.dat文件,具体作什么,寒冰就无从得知了
第二部分:初步预防方案
在此寒冰针对该病毒行径重新整理了一下预防的思路,不过不能保证百分百的有效
,仅作参考:
方案一:禁止硬盘自动播放
这次发现的变种虽然会多点"技巧"会通过修改注册表取消硬盘右键菜单的"Auto"选项,进一步起到隐藏作用,可是,其途径还是通过硬盘的自动播放模式进行,因此,禁止自动播放功能是预防的第一方案,防止"误双击"!
步骤一:开始-运行(也可使用快捷键win+R)-gpedit.msc,然后选择“管理模板”-“系统”-“关闭自动播放”
步骤二:打开后选择“已启动”,在下面选择“所有驱动器”,单击确定即可。
方案二:禁止病毒程序运行
各位应该了解了卖咖啡的多功能监控,而禁止某个程序运行更是他的拿手好戏,不过其实这项功能在windows系统早已经存在,只是了解的人不多,虽然我们知道每次病毒在c盘生成的文件很有随机性,可是在其他盘下的autorun.inf和sxs.exe却是不变的永恒,所以,通过禁止他们运行,自然可以在一定程度上阻止病毒的运作:(转载自平凡生活博客HTTP://WWW.HZLIVE.COM.CN)
步骤一:开始-运行(也可使用快捷键win+R)-gpedit.msc,然后选择“管理模板”-“系统”-“不要运行指定的windows应用程序”,:
步骤二:点击""已启动",然后点击"显示"进行添加
步骤三:点击"添加"选项进行添加,在这里只能一个个添加,的确有点不大方便,分别把autorun.inf和sxs.exe,qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe进行添加,当然,以后如果你发现了什么病毒程序一样可以通过这个方法阻止其运行(就算删除不了也要让他作恶不了),比如可以一起添加上面发现的dappvk.exe和dappvk.dll
方案三:备份注册表,显示隐藏文件
在最近的几次查杀过程中,隐藏文件无法显示的情况出现频率很高,不再是以前在"文件夹显示隐藏文件"就可以看到其他非系统盘的antorun.inf和sxs.exe这两个文件,查看了注册表才知道,一般要让隐藏文件无法显示,是通过将注册表项目HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为0,而要回复正常只需把值修改为1即可,可是病毒它用了更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,竟然把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!这样你以为把0改为1就会万事大吉,可是故障依旧如此!
所以,这个时候建议在正常时把SHOWALL分项备份,具体操作(寒冰已经做了导出,见2楼附件):
开始-运行(也可使用快捷键win+R)-regedit打开注册表,找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,然后在其点击右键,选择"导出"即可.
方案四:NTFS权限法
记得在卖咖啡中有条规则“禁止在任何地方写入、创建任何文件”,当然,好像还没有在windows中发现这个规则的使用,可是突然想起ntfs的权限控制,同样可以起到一样的作用,用于防止其继续向非系统盘写入sxs和antorun.inf两个文件,有助于帮助清理病毒(本方法只限于NTFS格式,FAT格式无效)
步骤一:在NTFS盘点击右键,选择属性,然后切换到安全选项卡,在权限的拒绝框全部勾选,这样当你清理完盘内的病毒文件,就无法继续写入了
同理,对于病毒antorun.inf和sxs.exe我们可以同样在每个非系统盘新建一个空文件,比如文本文件,将其改名为antorun.inf和sxs.exe,然后同理设置其权限为"全部拒绝",这样保证你的非系统盘不会再成为他的殖民地了.
同时通过Filemon监控,发现其运行其刚运行是还会在C:\WINDOWS\system32下生成qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe,如果你的系统盘也是ntfs,相信那样病毒发作的机会也没有了,呵呵
因原文比较专业,这里只精选了通俗实用的部分,更多的资料请查看原文链接:http://hi.baidu.com/readon99/blog/item/012cd1587ee10881810a1869.html
