论文部分内容阅读
新马通缉令:复仇者(报复性木马)
中毒现象:木马运行后,电脑中正在运行的多个进程被强行关闭(如杀毒软件、GHOST自动备份系统、游戏、explorer.exe桌面进程等),也可能出现蓝屏现象,重新启动计算机后杀毒软件可能会出现报错无法正常开启的现象。
瑞星杀毒软件2009(病毒库更新:2009.2.7):木马运行时软件提示注册表被修改,木马无法正常运行,木马对计算机无破坏性。
卡巴斯基全功能安全软件2009(病毒库更新:2009.2.6):木马运行时释放的多个文件被查杀,注册表完全保护,但ctfmon.exe文件被替换,开机会提示文件丢失,迅雷运行时提示崩溃(木马可能导致应用软件崩溃)。
江民杀毒软件KV2009(病毒库更新:2009.2.7):木马运行时,杀毒软件可以完全查杀木马。
ESET NOD32防病毒软件3.0版(病毒库更新:2009.2.6):木马在运行时杀毒软件完全查杀全部木马文件。
AntiVir Personal V8(小红伞)(病毒库更新:2009.2.7):杀毒软件无法发现木马程序,当木马替换系统文件时能进行主动防护并阻止木马,但释放的木马文件需手工删除。
EQSecure魔法盾4.0:木马修改注册表、替换文件等操作被阻拦,但木马劫持常见的迅雷、利用线程提权等操作无法进行防护,木马能完成攻击导致操作系统出现崩溃(测试采用EQ的默认安全规则,推荐采用“EQ论坛-理智规则”可完全防御木马的攻击)。
木马透视:木马采用VC++进行编译并通过FSG 2.0完成加密,主要以破坏系统、制造垃圾僵尸主机为目的,属于报复类型的木马程序,由于木马采用本地提权、第三方软件劫持等方式进行自我保护运行,大多杀毒软件对其无法防御,木马运行后释放文件“1696”到“%Temp%”目录下;添加映像劫持使下载软件迅雷无法使用;若发现机器中运行360、瑞星、卡巴等杀毒软件时,将获取该程序的执行路径并尝试通过在命令行中加入“/u”参数对其进行卸载;修改注册表通过关闭杀毒服务的方式使防护系统失效;衍生文件“1”到“%Windir% asks”目录下,并将该文件拷贝到所有非系统驱动器下含EXE文件的目录下,并更名为“usp10.dll”;创建线程监视当前窗口类名是否为“AfxControlBar42s”,如果是则关闭该窗口;修改注册表中具有隐藏属性的文件,隐藏具有系统属性的文件;监视进程列表中是否存在名为“cmd.exe”或“Thunder5.exe”的进程,如果存在就会关闭该进程;连接网络下载病毒地址列表,并依照列表下载病毒文件并执行;获取本机信息发送到指定地址;下载文件替换正常的Hosts文件来屏蔽部分域名;下载病毒文件的最新版本并执行;修改注册表创建服务提权,执行后删除服务和文件;修改系统输入法文件。
手工杀毒解决方案:
1.进入安全模式删除如下文件:
%System32%ctfmon.exe
%Windir%Tasks1
%Temp%1696
%非系统驱动器下的含exe文件的目录%usp10.dll(可采用搜索“usp10.dll”然后全部删除的方式完成操作)
2.卸载迅雷5.0再重新安装,恢复注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsThunder5.exeDebugger中的
字符串为: “svchost.exe”
3.从其他安全的操作系统中拷贝%System32%ctfmon.exe恢复输入法
卡巴斯基全功能安全软件2009:参见手工杀毒方案,在安全模式中执行第二、三步。
AntiVir Personal V8:参见手工杀毒方案,在安全模式中执行第一步。
EQSecure魔法盾4.0:参见手工杀毒方案,在安全模式中执行第二、三步。
中毒现象:木马运行后,电脑中正在运行的多个进程被强行关闭(如杀毒软件、GHOST自动备份系统、游戏、explorer.exe桌面进程等),也可能出现蓝屏现象,重新启动计算机后杀毒软件可能会出现报错无法正常开启的现象。
瑞星杀毒软件2009(病毒库更新:2009.2.7):木马运行时软件提示注册表被修改,木马无法正常运行,木马对计算机无破坏性。
卡巴斯基全功能安全软件2009(病毒库更新:2009.2.6):木马运行时释放的多个文件被查杀,注册表完全保护,但ctfmon.exe文件被替换,开机会提示文件丢失,迅雷运行时提示崩溃(木马可能导致应用软件崩溃)。
江民杀毒软件KV2009(病毒库更新:2009.2.7):木马运行时,杀毒软件可以完全查杀木马。
ESET NOD32防病毒软件3.0版(病毒库更新:2009.2.6):木马在运行时杀毒软件完全查杀全部木马文件。
AntiVir Personal V8(小红伞)(病毒库更新:2009.2.7):杀毒软件无法发现木马程序,当木马替换系统文件时能进行主动防护并阻止木马,但释放的木马文件需手工删除。
EQSecure魔法盾4.0:木马修改注册表、替换文件等操作被阻拦,但木马劫持常见的迅雷、利用线程提权等操作无法进行防护,木马能完成攻击导致操作系统出现崩溃(测试采用EQ的默认安全规则,推荐采用“EQ论坛-理智规则”可完全防御木马的攻击)。
木马透视:木马采用VC++进行编译并通过FSG 2.0完成加密,主要以破坏系统、制造垃圾僵尸主机为目的,属于报复类型的木马程序,由于木马采用本地提权、第三方软件劫持等方式进行自我保护运行,大多杀毒软件对其无法防御,木马运行后释放文件“1696”到“%Temp%”目录下;添加映像劫持使下载软件迅雷无法使用;若发现机器中运行360、瑞星、卡巴等杀毒软件时,将获取该程序的执行路径并尝试通过在命令行中加入“/u”参数对其进行卸载;修改注册表通过关闭杀毒服务的方式使防护系统失效;衍生文件“1”到“%Windir% asks”目录下,并将该文件拷贝到所有非系统驱动器下含EXE文件的目录下,并更名为“usp10.dll”;创建线程监视当前窗口类名是否为“AfxControlBar42s”,如果是则关闭该窗口;修改注册表中具有隐藏属性的文件,隐藏具有系统属性的文件;监视进程列表中是否存在名为“cmd.exe”或“Thunder5.exe”的进程,如果存在就会关闭该进程;连接网络下载病毒地址列表,并依照列表下载病毒文件并执行;获取本机信息发送到指定地址;下载文件替换正常的Hosts文件来屏蔽部分域名;下载病毒文件的最新版本并执行;修改注册表创建服务提权,执行后删除服务和文件;修改系统输入法文件。
手工杀毒解决方案:
1.进入安全模式删除如下文件:
%System32%ctfmon.exe
%Windir%Tasks1
%Temp%1696
%非系统驱动器下的含exe文件的目录%usp10.dll(可采用搜索“usp10.dll”然后全部删除的方式完成操作)
2.卸载迅雷5.0再重新安装,恢复注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsThunder5.exeDebugger中的
字符串为: “svchost.exe”
3.从其他安全的操作系统中拷贝%System32%ctfmon.exe恢复输入法
卡巴斯基全功能安全软件2009:参见手工杀毒方案,在安全模式中执行第二、三步。
AntiVir Personal V8:参见手工杀毒方案,在安全模式中执行第一步。
EQSecure魔法盾4.0:参见手工杀毒方案,在安全模式中执行第二、三步。