如何定位可疑病毒样本.doc

如何定位可疑的病毒样本注：1） 请以负责任的态度来帮助用户，任何的步骤要先进行验证，确定有效而且不会有不良影响（如果有影响，但可以接受，请让用户知道）。“对用户负责，对公司负责，对自己负责。”2） 一定要记住让用户在修改前备份注册表；可疑文件不要轻意删除，应该放到新建临时文件夹。3） 如果使用了Internet上的信息，请重新验证和整理后再告知用户，不要告诉用户是从Internet上收集来的。4） 一定要将协助用户提交可疑样本。5） 如果要使用比较知名的第三方免费工具，请确保用户在该工具的官方网站上下载，并且确定不会对系统产生影响。6） 不要推荐用户使用竞争对手的任何资源，例如网站信息，工具等等，可以自己使用。步骤1：局域网络内查找可疑的电脑。用户抱怨局域网络速度很慢，经常发生丢包等现象，或者整个子网都不能访问互联网，网络内部的文件共享无法访问等现象。在排除是个人防火墙(SCS防火墙，windowsXP防火墙)和硬件问题的情况下，用户怀疑是某些电脑感染病毒所致。 一方面应该通过SSC或者reporting server检查局域网内到底那些电脑没有更新到最新的病毒库，然后升级这些电脑的病毒库到最新，对网内的电脑用最新的病毒定义进行全面扫描（因为有些木马是间歇性启动的，自动保护不一定能查出来。） 另一方面，我们可以通过防火墙或路由器日志或Siniffer（收费），可以确定中病毒电脑。例如对于蠕虫病毒，其传播的第一个步骤肯定是扫描局域网内的主机，扫描的范围有可能是一个IP段，一般会包含自己所在的子网，这些可以通过路由器日志或者sniffer看出来；例如spybot之类的蠕虫会试图向其他电脑的2967端口发送数据包。 有些木马可能不会一直发送数据包，例如ARP木马病毒，但是短时间内发送ARP广播后就会造成局域网内的几乎所有电脑中招（事实上只是把其它电脑的IP地址都指向自己的MAC地址，包括网关。）,然后会恢复休眠状态。此时可以通过ARP a命令可以查出有问题电脑的MAC地址，用路由器的日志也能查到这个MAC地址；甚至在主机在路由器上恢复其真实的MAC地址后，也可以通过MAC Old地址查到局域网内曾经有过ARP病毒。通过NBTSCAN工具，可以取到该MAC地址对应的IP地址。步骤2：已经定位到可疑电脑，但是SAV用最新的病毒定义全面扫描在该电脑上不能检测到病毒；一般情况下，这时候是病毒进程正在该电脑中运行，但是目前的病毒定义无法识别该病毒进程。可以通过以下方法查找可疑文件：1. 如果已经从上一步骤知道该病毒所用的网络协议协议和端口，通过检测端口的软件，例如TCPView工具，Active Port工具，或者使用netstat a命令，可以知道是哪个进程在使用，一般即可知道可疑文件名称；2. 通过Process Explorer工具，或者IceSword工具检查其中的可疑进程，通过这些工具，都可以看出每一个进程（包括隐藏进程）所调用的所有dll,句柄，服务，端口等信息，并确认所有可疑文件。有的时候，病毒文件并不一定简单地以一个进程的形式存在于电脑之内，或者会隐藏进程，或者以一个线程或者dll加载到其它正常的进程，或者会自动休眠并间歇性启动。此时当然也可以用上面的工具和方法查找，也可以通过以下方法查找可疑文件：3通过FILEMON或REGMON工具来监视对文件系统和注册表的访问和修改。或者是查看system32和windows目录下（一般病毒文件都在这里），文件的生成或修改日期，若有明显比本文件夹其它文件新的文件，就比较可疑。4，一般情况下，Google、百度或者其它一些安全论坛上，会有类似的现象或者文件名的病毒的介绍，参考这些会事半功倍的。步骤3，在断开网络的情况下，SAV的自动防护总是在相同的位置发现相同的病毒文件，并且每次都能删除或隔离。目前的病毒、木马以及恶意软件，一般都有自动加载，自我恢复的功能。在排除是重复感染的前提下，如果病毒定义只是找到部分病毒文件并删除，而没有识别出其它加载或者恢复病毒文件的地方，那么很有可能就会出现类似的问题，而且用户也会觉得很烦。以下介绍一下这些病毒的自动加载、恢复的方式。1.SRC的手动查杀方法当中，一定会有关掉windowsXP系统还原，在安全模式下全面扫描。这是因为有些病毒会利用windowsXP的自动还原来恢复自身，因此明明是全部杀除，但是重新启动后还会出现；在安全模式下全面扫描，主要是安全模式下系统加载的服务和进程比较少。对于一些“钩”在其他进程上的病毒，在被“钩”的进程运行过程中windows不允许删除病毒文件，SAV可能会出现“leave alone”等结果。此时也可以用WhoLockMe工具查看是哪个进程在调用这个文件。2. 大多数的病毒都会有通过windows自启动程序加载的功能，而windows自启动主要在以下几个部分： 1) “启动”文件夹 单击“开始程序”，会发现一个“启动”菜单，这就是Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下：当前用户：所有用户： 2) 注册表启动项注册表是启动程序藏身之处最多的地方，主要有以下几项：1.Run键Run键是最常见的病毒自启动之处，该键位置是HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，其下的所有程序在每次启动登录时都会按顺序自动执行。 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun，也会自动执行。2.RunOnce键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce和 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce，与Run不同的是，RunOnce下的程序仅会被自动执行一次。 3.RunServicesOnce键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce和 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce，其中的程序会在系统加载时自动启动执行一次。4.RunServices键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices，RunServices继RunServicesOnce之后启动。5.RunOnceEx键HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx，该键是Windows XP/2003特有的自启动注册表项，6.windows键HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows，该键下有load键值，一般情况下其值为空，如果这里有加载自启动程序，则有可能是可疑文件。7.Winlogon键 HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon，下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。其中Notify一般为空，Shell一般为Explorer.exe，Userinit一般为C:WINDOWSsystem32userinit.exe。8.其他注册表位置还有一些其他键值，经常会有一些程序在这里自动运行，如：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShell，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad，HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemScripts，HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystemScripts 。Symantec的KB中也有检查注册表，查找可疑文件的方法：Title: Common loading points for viruses, worms, and Trojan horse programs on Windows NT/2000/XP/2003Document ID: 2001060517115206 Web URL: /support/ent-security.nsf/docid/2001060517115206?Open&src=ent_gold_namTitle: Common loading points for viruses, worms, and Trojan horse programs on Windows 98/95/3.1xDocument ID: 1999052415383948 Web URL: /support/ent-security.nsf/docid/1999052415383948?Open&src=ent_gold_namTitle: Possible loading points for viruses and security risks on computers that run Red Hat Enterprise Linux and SuSE LinuxDocument ID: 2005101812364548 Web URL: /support/ent-security.nsf/docid/2005101812364548?Open&src=ent_gold_nam 3）检查win.ini文件和system.ini文件。Win.ini位于C:Windows下，其windows字段中有启动命令“load=”和“run=”，通常“=”后面是空白的，如果后面跟着程序，很可能就是病毒程序。System.ini位于C:Windows下，其boot字段一般为shell=Explorer.exe如果后面跟着程序，很可能就是木马程序； 其386Enh字段内的“driver=路径程序名”，也有可能有病毒程序加载项；其mic、drivers、drivers32三个字段，也有可能有病毒程序加载项。 4）其他方法：可以通过查找msconfig，以及查看服务中的automatic的服务的方法，有时也可以找出可疑文件。3，病毒不一定都是通过windows自启动加载的。有的病毒会修改注册表关联项，比如exe文件或者txt文件HKEY_CLASSES_ROOTexefileshellopencommand，HKEY_CLASSES_ROOTtxtfileshellopencommand此时，只要打开exe文件或者txt文件，就会加载病毒。有的病毒会在加载后自动删除启动项，关机的时候自动恢复启动项，对于此类病毒就只能从进程，dll关联入手了。另外类似熊猫烧香的病毒会在其它的盘符下产生Autorun.inf文件，双击该磁盘后就会激活病毒程序感染电脑。步骤3.如果不方便现场操作，请从以下服务器下载ESUGLPDU.exe./User: Load_PointsPass: Lo4dPo!nts在该电脑上双击执行，最后的结果保存在同一目录下的 ESUGLPDU.zip文件中，将该文件email给我们。 解压缩ESUGLPDU.zip文件后，返回一个ESUGLPDU.html文件。1从5) System Running Processes可以查出所有运行的进程以及其exe文件所在的位置，点击每一个进程会查出该进程调用的dll文件以及其所在的位置。2涉及到网络和端口部分，从6) System Network Information可以查看，这个事实上是netstat a, 如果已经定位到某台电脑的哪一个端口或者连接的remote电脑的地址有问题，可以从这里看出是哪一个进程在调用。3从4) System Directories可以看出C:WINDOWS和C:windowssystem32下的文件的大小，exe的版本，和创建、修改时间，如果某些病毒是替换了以有的系统文件，从这里看能起到部分参考作用。4关于启动项可以查看4) System Directories中的C:Documents and SettingsAll UsersStart MenuProgramsStartup 和C:Documents and SettingsAdministratorStart MenuProgramsStartup。 注册表中的启动项可以查看3) System Registry中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 启动的服务可以查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce 从Winlogon加载可以查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon 从win.ini文件和sytem.ini文件的加载可以查看2) System Files中的C:WINDOWSwin.ini和C:WINDOWSsystem.ini5，其他部分，从3) System Registry中有其它关于注册表的项，例如可以从HKEY_CLASSES_ROOTexefileshellopencommand 看出exe文件关联；从2) System Files中的C:WINDOWSSystem32DriversETChosts可以看出host文件的内容，检查host列表。也可以使用其它的工具例如Symantec的Symbatchdiag2.84.exe(从以下地址下载User: toolsPass: Symantec123)，或者Hijackthis工具等。6.如果发现可疑的病毒文件，请通过以下网站提交到Symantec的安全响应中心：/gold/Notes:1. Dont key in Chinese Characters; 目前，请不要使用中文字符；2. Dont encrypt the samp