独家首发:再现五大“剧毒”破坏力
特别策划
互联网从诞生开始就一直受到病毒的侵扰。随着病毒的日益泛滥,普通用户陷入了百毒围攻的境地。现在的病毒进攻手段无所不用其极,通过网页、邮件、闪存、文件捆绑、聊天工具传播,用户一不小心就会中招,导致系统崩溃,数据丢失。
令人抓狂的病毒究竟是如何发作的?它们都对电脑做了哪些手脚?为了让大家对病毒破坏的行为有一个直观的了解,我们决定以身试毒,让病毒发作在自己的电脑上,给出真实的病毒破坏过程。
我们评测小组用一个月时间,搭建平台模拟现实环境,收集当前流行的病毒并实机运行。让大家亲眼目睹病毒究竟怎样大肆窜改、破坏系统,一起揭开病毒神秘的面纱,读者朋友们能够从中了解病毒的危害性,并加强自我防范意识,在遇到病毒时能够用合理的方式进行处理。
评测环境以及方法
为了真实反映日常病毒发作感染的实际情况,我们特别依照网吧和中小型企业的基本网络拓扑结构架设了测试平台。分别是一台ADSL Modem、一台宽带路由器、一台10/100M自适应交换机、4台测试主机。
ADSL Modem:Etek伊泰克2028 ADSL Modem (纯桥接模式)
路由器:华为3Com Aolynk BR204+ (已关闭内置防火墙及反病毒组件)
交换机:TL-SF1005D
测试主机A(笔记本电脑)
CPU:Intel Pentium M 1.6GHz
内存:512MB
硬盘:40GB
网卡:8139集成网卡
操作系统:Windows XP Professional SP2 简体中文版
内网IP:192.168.1.2
测试主机B
CPU:Intel Celeron D 2.4GHz
内存:512MB
硬盘:80GB
网卡:8139集成
操作系统:Windows 2000 Professional SP4 简体中文版
内网IP:192.168.1.3
测试主机C
CPU:Intel Celeron 800MHz
内存:192MB
硬盘:20GB
网卡:Netcore磊科3230NE 10/100M自适应
操作系统:Windows 2000 Professional SP4 简体中文版
内网IP:192.168.1.4
测试主机D
CPU:AMD Athlon64 X2 3600+
内存:2GB
硬盘:160GB
网卡:8139集成
操作系统:Windows XP Professional SP2 简体中文版
内网IP:192.168.1.5
评测环境尽量接近中小企业日常使用情况,所有评测主机都安装了各类常用软件,每个样本测试完后用Ghost重新还原系统。为了深入跟踪记录病毒破坏行为,所有样本运行前均安装了SSM一款系统监控软件,监视系统特定的文件及应用程序,达到保护系统安全的目的。它是一款对系统进行全方位监测的防火墙工具,所有操作全部“允许”,只做后台记录不干涉病毒对系统的所有操作。
同时在B测试机安装了防毒软件,以便验证网络蠕虫对其他测试机的入侵情况。如无特别说明,所有样本均由A测试机先运行。
我们从网络中收集了5个近期异常流行、危害巨大的恶性病毒样本,个个都可谓是“声名狼藉”,都造成过数万台电脑感染,具有惊人的破坏力。在实际测试中我们会给出该病毒的明显特征,让大家对这个病毒的破坏力有更加直观的了解。
1号病毒:小猪
病毒名:Win32/XiaoZhu.a
文件名:eqafwlg.exe
特征: 覆盖式写入,用病毒替换系统正常文件,彻底摧毁系统,无法修复。
小猪病毒是由近期名声大噪小浩病毒的基础上改进而来,相当于小浩的变种,但因出自他人之手,且包括图标在内做了部分改动,破坏力较前者更强,故确认为一新病毒,也比较有代表性。
病毒特征一:疯狂替换文件导致系统变慢
这就是病毒体(图1),已由“浩”改为了“猪”字。双击病毒后,硬盘立即开始狂转,指示灯常亮,似有大量文件读写现象,明显感到系统变得迟钝。
果然不出所料,病毒在替换大量.exe文件,在替换到系统文件时触发了Windows自我保护机制,弹出了Windows保护窗口(图2),提示系统所需的文件已被替换为无法识别的版本,要求插入XP安装光盘还原。
点击取消后,这些系统文件被病毒彻底更换,随之跳出名为 “Xiao zhu‘s virus” 的病毒窗口,提示“Hacked by Xiao Zhu! Just For Fun!”意为制作此病毒只为娱乐(图3)。
病毒特征二:为炫耀技术处处留名
接着所有窗口标题都被改为“Xiao zhu’s virus”,后面还留有病毒作者的QQ号码,明显在炫耀技术,并想通过此种方式与他人交流(图4)。
此时任务管理器、注册表编辑器等均已无法运行。进入C:\WINDOWS目录,原来.exe文件都已被病毒覆盖替换,regedit.exe(注册表编辑器)、taskmgr.exe(任务管理器)、msconfig.exe(系统配置实用程序)都变成了“猪”字图标(图5)。
然而病毒并没有因此停下破坏的脚步,感染完硬盘所有.exe文件后,又将黑手伸向了.ZIP、.RAR甚至更多文件上,在Flashget下载目录里,之前下载的各类软件压缩包均已无法使用,被彻底破坏(图6)。
开始菜单同样不能幸免,QQ、winRAR、Foobar2000全变成了“猪”(图7)。
病毒特征三:20分钟后导致系统崩溃
硬盘还在疯狂写入数据,看来病毒不把电脑变成毒窝誓不罢休,仅一会功夫系统就被剥得体无完肤,桌面图标尽是“猪”的天下(图8)。
这时连IE浏览器、.txt纯文本文件都已无法打开。我们将一纯文本文件通过网络共享发送到B机,并未检测出病毒且能正常打开,原因就在于A机的记事本程序NOTEPAD.EXE也已被病毒破坏,这包括.doc、.exl、.ppt等OFFICE文档都因相关程序被破坏而无法打开。
为了测试病毒是否会向可移动存储设备传播,我们插入了闪存,病毒果然伺机向闪存涌入,但由于之前已打开闪存写保护功能,病毒写入不成便频繁跳出警告窗口,连硬盘盘符都被窜改,直至最后系统彻底崩溃瘫痪,硬盘内数据毁于一旦(图9)。
系统恢复可能性为零
由于此病毒采用的是覆盖写入式感染,用同名病毒本体将正常文件直接覆盖,这不同于以往代码嵌入式病毒,也不同于普通的删除式病毒。倒是有些类似于文件粉碎机的原理,即用其他数据覆盖当前数据,达到难以恢复的目的,所以此病毒对数据的破坏性是致命的,一旦感染修复的希望渺茫。
病毒清除方法
鉴于小猪病毒难以清除,用户最好采用防御的方法。首先升级杀毒软件到最新版本,一般在2007年8月22日以后的病毒库都可以防范小猪病毒。另外为系统打上MS06-014和MS07-017这两个网页木马经常使用的系统漏洞。禁止光盘和闪存自动运行功能。
2号病毒:MSN 性感相册
病毒名:BackDoor.IRC.Sdbot.1703
文件名:Photo_album37.zip
特征:通过MSN快速传播,中毒电脑成为“肉鸡”。
近期MSN蠕虫最新变种再度爆发,截至目前已造成数百万台使用MSN及时通讯软件的用户感染,经过一番周折,我们第一时间搜集到了此病毒最新样本,立即着手测试。
病毒特征一:用屏保伪装欺骗用户
这就是MSN蠕虫的压缩包(图10),里面就是伪装成屏幕保护程序的MSN蠕虫病毒,解压后双击运行,跳出一个屏保安装窗口随即消失。打开任务管理器,可以看到病毒进程“msn.exe”正在运行(图11)。
进入C:\windows\system32\目录,病毒在这里分别创建了“libcintles3.dll”、“msn.exe”两个文件,“msn.exe”为加NTKrnl壳的病毒主体(图12)。
病毒特征二:注入进程躲避查杀
进一步分析发现病毒为了逃避杀毒软件的查杀,将libcintles3.dll强行注入到Explorer.exe系统进程中,同时还能轻易穿透网络防火墙的拦截,以便能够连接外部IRC服务器,接受远程控制指令,使中毒电脑成为“肉鸡”。
在Process Viewer中查看Explorer.exe进程的详细模块,果然libcintles3.dll就在其中,路径正是C:\windows\system32\libcintles3.dll(图13)。
此外,病毒还修改了注册表以达到开机自动加载的目的,但由于并没有在RUN处添加,所以在系统配置实用程序中并无显示,打开注册表展开至 [HKEY_LOCAL_MA CHINE\SOFTWARE\Microsoft\W indows\CurrentVersion\ShellService ObjectDelayLoad]注意右侧printers正是病毒添加的启动项,值为{ 8F1A0 E47-D9E2-4C5C-90E2-C7F6EB 70635}(图14)。
在注册表添加的printers启动项的意义就是让libcintles3.dll在启动Windows后就注入到Explorer.exe中,如此手段可谓是绞尽脑汁,即便是在安全模式照样也能加载。
病毒特征三:寻找好友自行传播
下面来测试病毒的传播特性,我们特地申请了4个新的MSN账号,分别在A、B、C、D4台测试机登录并互相加为联系人。
在A机运行此病毒后,很快其他3台测试机都收到了病毒自动发来的信息及名为“Photo_album37.zip”的压缩包,接收该包并运行后噩梦便开始了,4台电脑互相疯狂发送病毒压缩包,局域网内垃圾数据成倍增加,网速下降严重,整个网络近乎陷入了死循环(图15)。
用户可以轻松清除病毒
从路由器处断开各台主机网络连接,不进入安全模式,使用杀毒软件全盘杀毒能够完全清除病毒。可见病毒并不是很顽固,用户可以轻松清除。
病毒清除方法
可下载专杀工具对病毒进行清除。MSN性感相册专杀工具下载地址:http://download.jiangmin.info/jmsoft/MSNPhotoKiller.exe
3号病毒:威金GV变种
病毒名:Worm.Viking.gv.40448
文件名:PE1.exe
特征:网络蠕虫,下载其他木马病毒。
威金虽是一只老病毒,但其变种数量浩大,至今都有新变种不断出现,此Worm.Viking.gv.40448就是上月肆虐的新变种,感染人数较多。
病毒特征一:强行终止杀毒软件
双击运行位于A测试机的威金样本“PE1”,病毒子级进程在C:\windows\system32\下释放了“net.exe”文件,并执行命令行stop“Ksingsoft AntiVirus Service”病毒发作后的首要任务就是查找并中止金山毒霸(不论本机是否安装有金山毒霸)。由此导致Windows安全中心出现混乱状况,报告金山网镖已经被关闭,而我们并没有安装金山网镖(图16)。
病毒特征二:嵌入进程控制系统
接着病毒又将黑手伸向包括“Explorer.exe”,在内的多个系统进程,以达到控制系统的权限(图17)。
这时网络连接显示有大量数据进出,看来病毒已经开始下载其他木马及盗号程序了。果然,SSM提示WINLOGON.EXE尝试通过安装全局系统钩子注入winsys64.sys(图18)。
Winlogon.exe是Windows域登录管理器,位于C:\windows\system 32目录下,这个WINLOGON.EXE不但是大写字母而且路径也不对,原来是威金在后台下载的落雪病毒变种,至于winsys64.sys便是“知名”的QQ盗号木马,监视键盘输入窃取QQ密码。
打开任务管理器准备查看进程时,病毒已经锁定了任务管理器(图19)。
使用Process Viewer查看Explorer进程的模块,发现被注入数10个病毒文件,企图利用线程注入技术穿透防火墙,连接到病毒作者指定的网站下载特定的木马或其它病毒,并尝试感染局域网内其他计算机。系统启动项也被窜改加载了多个恶性病毒程序(图20)。
病毒特征三:5分钟即可瘫痪局域网
突然路由器和交换机内网指示灯持续闪烁,看来病毒开始在局域网内传播,频繁发送ICMP探测数据“Hello,World”,判断网络为可用时枚举内网所有共享主机,尝试用弱口令连接共享目录进行网络感染。
在workgroup工作组中已经无法查看网内其他测试机,Ping均显示超时,网络异常繁忙。这时装有防毒软件的B测试机(192.168.1.3)报警,发现来自192.168.1.2(A机)的网络蠕虫侵入系统,位于C:\WINNT\PE1.exe(图21)。
而其他没有安装防毒软件的C机和D机则被病毒完全感染,系统目录中发现了威金下载的其他恶性病毒和盗号木马(图22)。
同时感染所有.exe、.RAR文件,使其图标变大、模糊,一旦点击即再次激活病毒(图23)。
局域网瘫痪很难恢复
运行360安全卫士后,可以看到大量木马被植入系统,且还在后台源源不断地下载。截至测试结束时,A、C、D三台测试机分别被安装了30~40个流氓插件和木马病毒,网络带宽占用率达到97%,使局域网完全瘫痪。
病毒清除方法
在我们尝试清除的时候,杀毒软件无法安装,系统速度极慢。只有使用专杀工具进行清除。但是威金病毒清除后,还需要使用最新版本的杀毒软件对系统进行全盘杀毒,清除威金下载的各种木马。威金专杀工具下载地址: http://download.rising.com.cn/zsgj/Vikingkiller.scr
4号病毒:ARP蠕虫
病毒名:Win32.HLLW.Autoruner.180
文件名:eqafwlg.exe
特征: 网内伪造ARP数据包,干扰全网运行;IFEO映像劫持屏蔽杀毒软件。
今年6、7月间ARP病毒伴随恶意网站对国内网络予以重创,大量企业、高校的内部网络濒临崩溃,损失惨重。下面我们就真实运行一下大名鼎鼎的ARP蠕虫,看它对局域网的破坏到底有多大。
病毒特征一:瞬间释放大量病毒体
运行后,病毒立即在C:\windows\system32目录下释放“((ppp).exe”、“.exe”、”net.exe”、“sc.exe”等病毒体(图24)。
任务管理器中出现了“((ppp).exe”和“.exe”两个病毒进程,同时连续弹出错误窗口提示Runtime error 5 at 00406568大意为禁止00406568地址的文件存取(图25)。
病毒特征二:强制结束安全软件
双击系统中的冰刃、procexp却发现都已无法运行,文件大小并没有改变,看来此病毒还利用了近期非常流行的IFEO映像劫持技术。
随后,我们尝试在测试机上安装并运行2007版本的杀毒软件,但是病毒通过窜改注册表将卡巴斯基、瑞星、360安全卫士、冰刃、金山毒霸、江民、木马克星、Windows清理助手等一大批知名安全软件劫持,导致杀毒软件无法运行。
病毒使system32系统文件夹下“.exe”病毒文件做了调包,以达到保护自身的目的,同时为下载其他病毒、木马清扫障碍(图26)。
病毒特征三:疯狂占用网络带宽
用IE浏览网页时网速明显下降,部分图片无法显示,打开任何网页都弹出广告窗口,结果A、B、C、D等4台测试机都出现了同样的情况,显然是病毒已经在网内传播并在每个网页头部都嵌入了广告代码(图27)。
这时安装在B测试机上的防毒软件突然提示,发现来自192.168.1.2的木马病毒EQAFWLG.EXE通过共享目录侵入,网上邻居已经无法访问,路由器与交换机的LAN指示灯持续闪烁,显示有大量内部数据交换传输,B机的防毒软件疯狂弹出报警窗口,最高时每秒拦截近20个病毒(图28)。
C测试机由于配置过低内存几乎被耗空,系统开始占用大量虚拟内存、无法执行任何操作濒临死机。D测试机也出现了弹出大量错误窗口的情况,网络一度出现时断时续的现象。
在B机Ping A、C、D机时提示超时,A、C、D机互Ping居然提示找不到主机,4台测试机Ping网关(路由器)192.168.1.1时数据延迟严重,响应时间超过了237ms。
局域网完全瘫痪无法恢复
对此样本连续测试8小时后, A、C、D全部死机,重启后蓝屏无法进入系统,网内攻击数据随即停止,B机共拦截13184个病毒。并且在对A、C、D测试机进行恢复时,因为无法进入系统,恢复失败。从而也导致局域网无法恢复。
病毒清除方法
感染ARP蠕虫后,用户应该立即进行杀毒,如果时间拖延,不但导致局域网瘫痪无法恢复,也会造成无法进入系统进行杀毒,从而不得不重装系统。专杀工具下载地址: http://mail.dtky.com.cn/Soft/UploadSoft/200705/20070522220555764.rar
5号病毒:注册表杀手
病毒名:Trojan.Win32.KillReg.k
文件名:CTFMON.exe
特征:专杀注册表,将注册表完全破坏让系统无法正常运行。
注册表杀手是一个老牌病毒了,此次我们进行测试的是在网上有抬头趋势的最新变种。我们一起来看看这个病毒如何在系统中进行破坏的。
病毒特征一:锁定注册表疯狂加载启动项
双击运行CTFMON.exe(伪装成Office文字服务程序)后(图29),会自动打开“我的文档”同时启动浏览器访问256.com、3721.com、yahoo.com.cn、4199.com,等网站,迷惑用户并从256.com下载其他病毒。
硬盘狂转似是在做大量的读写操作,突然显示器黑屏,病毒竟迫使系统进入了待机状态,重新进入系统在运行中输入“Regedit”发现注册表已被禁用,而“我的文档”也被锁死无法直接双击打开(图30)。
使用注册表对比工具后发现,病毒共删除了注册表3004个键,修改167处值。在“系统配置实用程序”中可以看到病毒加载了近20个启动项目。
病毒特征二:伪造程序加载病毒
打开任务管理器让人目瞪口呆,出现了16个病毒伪造的cmd.exe、15个reg.exe、3个ctfmon.exe,总计34个病毒进程。
通过360安全卫士可以更详细的看到病毒伪造出3721.exe、yahoo.exe、4199.exe、7911.exe等启动项,与之前发作时打开上述网站互相呼应,转移视线嫁祸他人。尽管名称千变万化,但路径都指向样本目录中的CTFMON.exe(图31)。
病毒特征三:伪装为杀毒软件
尝试使用“冰刃”时发现已无法运行,甚至连IceSword.rar的压缩包都不能打开、无法重命名,其他包括process Explorer、sereng等安全工具俱被锁定,原来病毒为了保护自身已将这些程序全部禁用。不过这可难不倒我们,新建一个RAR压缩包将冰刃主程序IceSword.exe移进去,直接在winRAR程序中改名并运行“冰刃”成功!
随后来到C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\E_4\发现病毒已经生成了dp1.fne、eApi.fne、krnln.fnr、shell.fne、spec.fne 5个文件,其中krnln.fnr为“易语言”的文件运行库,看来是在“易语言”环境下编写的(图32)。
此病毒会在后台偷偷下载各类恶意软件,强制安装无法卸载,如冒充瑞星杀毒软件RavStub.exe进程的伪RavStub、systems病毒等,进一步破坏系统同时盗取热门网络游戏账户(图33)。
用户清除工作比较复杂
在测试过程中局域网正常,没有发现该病毒在网内流窜感染其他测试机的情况。测试结束后,我们使用最新病毒库的杀毒软件能够完全清除病毒,但对注册表的部分窜改还需要使用其他修复工具修复,这对普通用户来说,是相当复杂的一个操作。
病毒清除方法
使用最新版本的杀毒软件即可清除病毒,但是如果想要系统恢复正常,还需要对注册表进行恢复。恢复注册表有两种方法,第一是修复安装系统,这个方法一劳永逸。第二个方法,使用360安全卫士对系统注册表挨个修复,但这种方法容易造成漏补,导致系统不稳定。
评测工程师总结
病毒破坏力惊人,开发更加方便
病毒的破坏行为愈加恶劣,近乎变态的想法让这些病毒作者到了丧心病狂的程度。例如“小浩”、“小猪”病毒,一旦感染无疑是对用户数据的毁灭性打击,罕见的覆盖式写入瞬间令硬盘数据灰飞烟灭,如果是公司重要商务资料被感染,后果不堪设想,恢复数据的希望极为渺茫,且要付出高昂的费用。
同时,病毒源码开放、共享也令人担忧,病毒作者出于金钱、名利等因素将病毒源代码出售或公开发布,导致基于原始代码的病毒变种层出不穷,一份源代码被加工、炮制出多份病毒,更加增添了查杀难度。
例如“熊猫烧香”的各类变种就出自不下百人之手,有“李氏”熊猫、“王氏”熊猫、“张氏”熊猫……,熊猫的一炷香风风火火烧了大半年,以至于最后连原始作者也搞不清自己的病毒到底有多少变种。
再如“小浩”病毒被公布仅数日时间,就冒出“小猪”,相对于前者只做了轻微改动,但却能逃脱杀毒软件的识别,不难想象,今后会不会出现“小狗”、“小猫”……信息技术的飞速发展,让更多的人掌握了较高的计算机技能,但也逐渐显现出病毒制作技术的大众化、傻瓜化。
近两年出现了众多木马生成器、变种生成器,而所谓“免杀”技术更是日益泛滥,黑客教学网站、论坛热火朝天的招收新学员,吸引了大量还在上高中、初中的学生。这些稚气未脱的孩子们表现出对技术的狂热追捧,经常能看到一个论坛数百号人在绞尽脑汁潜心研究伪装、多层加壳、反脱壳等“尖端”技术,更有甚者以干掉杀毒软件为荣,四处炫耀自己的“伟大胜利”。
反病毒软件必须提高主动防御成功率
今年以来整个安全界都意识到愈发严峻的网络环境,尽管病毒库大幅扩充、截获速度日益加快,升级从最初的每周一次到每周三次、每日一次、直至现在每日数次,仍然阻挡不了病毒前进的脚步,每年新增病毒数量成倍增长。
加之2006年以来,出现众多如7255、8749之类利用病毒传播的恶意网站,年轻的互联网犹如进入了暮年期百病缠身。
面对这种形势,反病毒厂商可谓八仙过海各展神通,即将发布的一系列2008版杀毒软件中,广谱智能启发、动态数据流、智能主动防御、双向入侵检测、多引擎脱壳……一系列全新或加强的技术被广泛应用。
其中尤为耀眼的当数智能主动防御,正如前面所提到的,病毒的更新速度远远超过了反病毒厂商的截获分析速度,主动防御技术能在系统底层实时监控程序行为,为反病毒厂商分析样本升级病毒库争取宝贵时间,将用户面临的风险降到最低。
遇到病毒的变种,杀毒软件不能第一时间捕获,此时用户应该怎么办呢?面对这种情况,目前最为有效的防范方法就是在杀毒软件中引入高度智能的主动防御系统,当新病毒出现杀毒软件无法识别时,主动防御将率先拦截病毒的破坏行为,尽最大可能保护系统,为病毒库升级争取宝贵时间,真正做到防患于未然。
但是这里会有一个问题,主动防御必定造成用户使用软件时不方便。杀毒厂商迫切需要提高主动防御的智能化和有效化,毕竟没有一个用户会喜欢运行什么软件都报警的杀毒软件。
用户需要提高安全意识
通过这次病毒爆发测试,大家看到病毒虽然破坏力强大但也有弱点,绝对可防。除了以往我们常讲的打好系统补丁、及时升级杀毒软件、防火墙、不访问非法网站外,不自动运行闪存、下载软件先扫描也是现在一个提高电脑安全的措施。
熟练运用一款主动防御软件将让你的系统保持健康,现在很多杀毒软件都提供了系统监控功能,当系统监控功能发现危险操作的时候会进行提示。如果用户不能够确信这个操作是否安全,我们建议大家全部选择禁止继续操作。虽然这样操作可能会为用户安装软件带来一些不便,不过这也能够避免一些病毒借此发作,保护系统安全。