趋势科技病毒概述

ChannelEnablingTeam

趋势科技病毒概述1/15/2023Confidential|Copyright2013TrendMicroInc.概述病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享概述病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享互联网威胁病毒——通过各种方式复制感染其它文件蠕虫——自动传播自身的副本到其它计算机木马——在主机上未经授权自动执行后门——在主机上开放端口允许远程计算机访问间谍软件——检测用户的使用习惯和个人信息，在未经用户认知和许可下发送给第三方以上统称：恶意代码威胁分类ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojanSpywareDownloadersDroppersPasswordStealersBackdoors防间谍软件产品覆盖范围防病毒产品覆盖范围趋势科技对恶意程序的定义病毒名称前缀病毒类型TROJ木马WORM蠕虫PE文件感染型ADW广告组件TSPY间谍木马JS脚本VBSVB脚本PACKER加壳文件BKDR后门程序JOKE玩笑程序EXPL利用漏洞攻击病毒流行趋势范围：全球性爆发逐渐转变为地域性爆发如WORM_MOFEI.B等病毒逐渐减少TSPY_QQPASS,TSPY_WOW,PE_LOOKED等病毒逐渐增加速度：越来接近零日攻击(Zero-DayAttack)如WORM_ZOTOB,WORM_IRCBOT等方式：病毒、蠕虫、木马、间谍软件联合如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒病毒传播或感染途径电子邮件：WORM_MYTOB，WORM_STRATION网络共享：WORM_SDBOTP2P共享：WORM_PEERCOPY.A系统漏洞：WORM_MYTOB、WORM_SDBOT其它（目前大多数木马、间谍软件的感染方式）移动磁盘传播网页感染与正常软件捆绑用户直接运行病毒程序由其他恶意程序释放概述病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享病毒感染的一般过程通过某种途径传播，进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能打开后门等待连接发起DDOS攻击进行键盘记录...除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。病毒自启动方式修改系统修改注册表启动项文件关联项系统服务项BHO项将自身添加为服务将自身添加到启动文件夹修改系统配置文件自动加载服务和进程－病毒程序直接运行嵌入系统正常进程－DLL文件和OCX文件等驱动－SYS文件常见的病毒行为自动弹出网页占用高CPU资源自动关闭窗口自动终止某些进程...无论病毒在系统表现形式如何…我们需要关注的是病毒的隐性行为！病毒的隐性行为（一）下载特性自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种后门特性开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控信息收集特性收集私人信息，特别是帐号密码等信息，自动发送自身隐藏特性使用Rootkit技术隐藏自身的文件和进程病毒的隐性行为（二）文件感染特性感染系统中部分/所有的可执行文件，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。典型PE_LOOKED维京PE_FUJACKS熊猫烧香网络攻击特性针对微软操作系统或其他程序存在的漏洞进行攻击修改计算机的网络设置向网络中其它计算机发送大量数据包以阻塞网络典型震荡波ARP攻击概述病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享趋势产品杀毒机制（一）扫毒模块扫描并检测含有恶意代码的文件，对其进行识别对于被文件型病毒感染的可执行文件进行修复组件扫描引擎-VSAPI&TMFilter病毒码-LPT$VPN.xxx间谍软件病毒码-TMAPTN.xxx网络病毒码-TMFxxxxx.PTN趋势产品杀毒机制（二）杀毒模块损害清除服务(DCS)对于正在运行/已经加载的病毒进行清除终止进程脱钩DLL文件删除文件恢复被病毒修改过的注册表内容，起到修复系统的作用可视为趋势通用专杀工具组件损害清除引擎(DCE)-TSC.EXE损害清除模板(DCT)-TSC.PTN间谍软件清除病毒码-TMADCE.PTN中国区病毒码（ChinaPattern）本地化，主动性通过“主动”收集中国地区大量病毒样本(Sourcing)，快速分析，由ChinaRegionalTrendLabs发布针对中国地区的病毒码。包含全球病毒码特性中国区病毒码完全包含全球病毒码，并极大增加了对本地病毒的查杀数目和能力。是根据中国病毒的特点，发布的病毒码版本。技术领先特性，增强查杀率中国区病毒码整合了多项智能扫描病毒技术，Intellitrap技术，最新杀病毒DCE5技术等多项查杀毒功能，大大增强了病毒查杀率。载体程序为什么会出现无法清除的病毒？有病毒本身的特性决定恶意代码恶意代码为什么会出现无法隔离/删除的病毒？当病毒感染系统后病毒进程已经被系统加载病毒DLL文件已经嵌入到正在运行的系统进程中Windows自身的特性：对于已经加载的文件无法进行改动操作，从而导致病毒扫描引擎对检测到的文件无法操作。已经加载的病毒不包含在损害清除模板(DCT)中病毒问题处理的标准流程发现系统异常，怀疑有产品无法查到或处理的病毒在征得用户同意的情况下，拔除网线收集病毒日志客户机端pccnt35.log收集系统日志和样本运行sic工具收集系统信息使用在线分析系统，上传sic日志，获取样本提取工具运行岩本提取工具，提取病毒样本包将步骤3和4生成的三个文件提交给趋势科技趋势提供病毒解决方案概述病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享手动病毒处理方法如何来防病毒？安装杀毒软件，并及时更新防病毒组件及时更新系统和应用软件补丁，修补漏洞强化密码设置的安全策略，增加密码强度加强网络共享的管理增强员工的病毒防范意识中毒了怎么办？？？重装系统系统还原Ghost还原

删除病毒文件修复病毒修改的注册表和文件手动病毒处理步骤（一）关闭系统还原进入安全模式终止所有可疑进程和不必要的进程显示隐藏文件工具->文件夹选项选择“显示所有文件”取消“隐藏受保护的系统文件”仍然无法显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDENCheckedValue=2DefaultValue=2HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue=1DefaultValue=2手动病毒处理步骤（二）判断可疑文件路径%SystemRoot%\%SystemRoot%\System32\%SystemRoot%\System32\drivers\按照日期排列文件，查看文件版本信息可执行文件.EXE，.COM，.SCR，.PIFDLL文件和OCX文件LOG文件——有一些病毒会将DLL文件伪装成LOG后缀的文件，可以直接双击打开查看其内容是否为文本。若为乱码，则可疑。Google之联系趋势科技工程师手动病毒处理步骤（三）修复被病毒修改的host文件%SystemRoot%\System32\drivers\etc\host默认仅包含一条host记录localhost清空临时文件夹%SystemRoot%\TempC:\TempInternet临时文件C:\DocumentsandSettings\<用户名>\LocalSettings\Temp清理注册表等启动项信息常用工具介绍ProcessExplorerIceSwordSICTCPView分析网络连接Regmon,InstallRite监视注册表Filemon,InstallRite监视文件系统趋势科技ATTK中小企业软件包概述病毒类型概述病毒行为分析趋势的病毒应对方式病毒的处理建议病毒案例分享Wrom_Downad传播手段网络共享(MS08-067)漏洞移动存储P2P传播（较少）DOWNAD/Conficker变种的例行操作网络流量对比图1小时正常局域网流量VS.

1小时WORM_DOWNAD.KK流量感染标志445端口的网络流量异常升高在如下注册表项目中出现随机命名的键值HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

系统自动连接到多个URL无法访问防毒网站，例如趋势科技的网站系统文件夹下出现一个名为X的文件多个系统服务被禁用无法查看隐藏文件。通过文件夹选项也无法修改设置出现很多不是用户自己创建的计划任务可以在“开始>控制面板>计划任务”中查看也可以在“开始>附件>系统工具>计划任务”中查看对未受影响用户的保护策略IntrusionDefenseFirewall(IDF)可以保护网络免受类似的零日攻击未使用IDF的网络管理员，可以通过如下方式实施保护从如下链接下载VulnerabilityAssessment工具，用于探查网络中存在漏洞的机器：/ftp/products/pattern/spyware/fixtool/va_test.zip从如下链接下载NetworkVirusPattern10273或以上，用于在网络层探查漏洞攻击数据包/download/product.asp?productid=45对尚未打上补丁的机器，应用补丁MS08-067保持病毒特征码能及时升级到最新版本在病毒发作的各个阶段可供使用的防护方案IDF

可以保护网络免受漏洞攻击SPN的文件信誉技术可以检测恶意文件SPN的文件信誉技术可以检测恶意文件SPN的网页信誉技术可以阻止变种与僵尸主机通信从2008年10月23日开始可以使用解决方案总结找到并处理病毒攻击源头修复该病毒利用的漏洞可部署的产品解决方案VSAPI8.913.1006/download/engine.aspDCTOPR1020/download/dcs.asp含有详细步骤的方案汇总/support/viewxml.do?ContentID=EN-1038611&id=EN-1038611其他工具下载VulnerabilityAssessment工具（可用于检查系统是否未打上MS08-067补丁）/ftp/products/pattern/spyware/fi