扑灭熊猫烧香
网络安全
坐堂医生:裘文锋
医生特长:病毒病理分析
本期病毒危害程度:★★★★★
遭遇“熊猫烧香”病毒
今天,刚开了病毒诊所大门,裘医生就接待了一名求诊者——小吴。从他心急火燎的描述中,裘医生了解到小吴的电脑双击不能打开盘符,还发现很多文件的图标也被替换成熊猫烧香模样的图标。进入系统不久还出现了打开IE的提示,却并未打开IE窗口。
病毒运行不但占用了大量系统资源,而且打开程序后还经常无故地被关闭。病毒发作时调用IE进程,自动关闭常用程序,关闭杀毒软件和防火墙,还自动打开网页,再加上熊猫烧香模样的图标,这些病毒特征使得裘医生果断地下了结论:小吴的电脑感染了熊猫烧香病毒。
熊猫烧香病毒档案
熊猫烧香病毒最近在网络中非常流行。首先,由于病毒在感染的盘符生成具有熊猫烧香图标的setup.exe文件和autorun.inf文件(图1),同时右键单击盘符会出现“auto”命令。
打开autorun.inf文件,发现其命令行为:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
双击盘符时就等于运行了setup.exe病毒程序,熊猫烧香病毒在网络和电脑中的传播速度很快。感染病毒后,大多数的.exe文件的图标被替换成熊猫烧香图标。
狡猾的病毒
裘医生胸有成竹地介绍起该病毒的诊断方法。打开进程管理器会发现很多名为iexplore.exe的可疑进程(图2)和iexp10re.exe进程(这个进程是迷惑性的)。
熊猫烧香病毒是通过给进程注入病毒DLL文件作乱的,是典型的DLL病毒。这类病毒插入系统进程运行,系统进程通常无法终止,病毒文件也就无法被删除,因此杀毒软件并不能很好地清除该类病毒。
DLL病毒一般可以使用冰刃等安全工具来解决问题,不过,熊猫烧香病毒内置了自动关闭知名安全工具(包括冰刃、瑞星等)进程的命令。因此很多病毒查杀利器也就只能留在“剑鞘”中了。有名的工具被熊猫烧香病毒封杀,我们还可以使用擅长系统分析的HijackFree和善于处理进程的超级巡警来帮助查杀。
初战告捷
接着,裘医生打开了HijackFree,通过清晰的进程信息窗口,轻松地在进程选项里终止了iexpl0re.exe、spoclsv.exe、systemm.exe、conime.exe进程,然后删除了相关的文件。分析iexplore.exe发现被插入C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll(还有同目录的msvcp80.dll、msvcr80.dll)等三个文件运行(图3),显然病毒调用IE下载了更新。接着尝试终止所有的iexplore.exe进程。
狂扫穷寇
终止iexplore.exe之后,发现病毒很快重新启动iexplore.exe进程,由此看来该病毒插入了系统进程来守护运行。裘医生打开了超级巡警。利用超级巡警的进程管理功能,很快在rundll32.exe进程发现了两个可疑的DLL文件:C:\Program Files\Internet Explorer\use6.dll和C:\ProgramFiles\CommonFiles\Microsoft Shared\MSINFO\1CC7F616.dll。通过查看文件属性发现,这两个文件都是病毒发作期间创建的。
选中这两个DLL文件,右键单击选择“强制卸载标记模块”命令(图4),发现无法卸载,当然无法删除了。把这些文件记下,重启到DOS环境删除。
同样在系统Shell进程中,也发现了可疑的exploer.exe进程调用C:\WINDOWS\system32\windhcp.dll,也无法强制卸载。接着为了防止病毒死灰复燃,开始清理启动项目。
在HijackFree的自动运行选项里的注册表项目里发现了Micro、myMh2、svcshare等病毒启动项目,删除即可(图5)。
在启动选项的WinLogon项目发现了隐藏很深的病毒启动项目,删除即可。接着重启系统到DOS环境,删除记录的文件以及每个盘符的autorun.inf和setup.exe文件之后,回到Windows XP发现病毒已被清除了。
防“病”于未然
熊猫烧香病毒可以通过恶意网页代码、移动存储设备、下载捆绑病毒的软件等方式感染。因此,我们需要安装杀毒软件开启病毒实时防护、网页实时防护和软件下载实时防护功能。另外,由于该病毒通过移动存储设备传播,故应慎用该类设备,不要双击打开,对该类设备进行病毒查杀后再使用。