手工检测未知病毒
作者:UFO&不幸外人(转载请注明)
近期,可能是因为春节的来临,也可能是因为病毒作者耐不住寂寞,纷纷发表新的病毒,年底的“熊猫烧香”,去年的“威金”等等大型蠕虫病毒,给我带来的很多麻烦,我们应该如何对付这些病毒呢?我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错,但对某些病毒的更新速度还需要改善,这就需要我们来自己动手检测未知病毒。
说到检测未知病毒,对于新手来说,可能很困难,经过这个文章可以让你完整了解病毒的检测和删除过程,加上自己努力学习和实践,就可以实现自己手工杀毒。好了废话就说这么多,我们来看看如何检测未知病毒。
第一, 全面检测计算机。
对于新手,手动全面检测计算机是非常困难的,因为需要打开注册表,一项一项去检查,那我们就使用简单的方法——运用SRE这个软件,SRE全名System Repair Engineer,下载地址:http://www4.skycn.com/soft/23312.html。打开软件后,点击软件左边的智能扫描,再点击“扫描”,就可以对计算机进行较为全面的扫描了。
对于不想自己分析的新手,请把日志贴到论坛上,会有人帮你解决。
第二, 分析扫描日志
这个是最关键的一步,对于很多新手,选择来论坛发布日志,让有经验的高手来分析,这样省时省力,但是如果大家学会分析日志,那么就可以有更多的人帮助新来的人,减少版主和论坛高人的劳动。分析日志学习起来很难,因为需要不断积累经验,在这里只介绍简单的方法(若有更好的方法,希望论坛或者邮件进行讨论)。
1、 了解日志
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目
2、 看进程
看进程,看什么呢?看的就是,是否有除系统基本进程和软件产生进程外的其他进程,尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件,可能有些新手不知道那些是系统基本进程,那些是软件安装的进程,这就是需要经验积累的地方,为了方便新手了解进程,我做了一个表一。
进程列表(表一)(只是简略说明,详细说明请自己查找,你会学习得更多)
进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件,若其他地方出现,或者出现相似,则90%为病毒
进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件,若其他地方出现,或者出现相似,则90%为病毒
进程名 ctfmon.exe 路径 c:\windows\system32\ 说明 输入法辅助文件。
进程名 winlogon.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 csrss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 services.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 smss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 lsass.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 alg.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 spoolsv.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 explorer.exe 路径 c:\windows\ 说明 系统桌面文件,大部分DLL病毒会集中在这里
说明,以上是部分系统基本进程,一个完整的SP2按照后是18个进程左右(不同版本进程数量不同)。注意路径,若路径有问题,90%
是病毒
进程名 ccenter.exe 路径 瑞星所安装的文件夹 说明 瑞星
进程名 ravmon.exe 路径 瑞星所安装的文件夹 说明 瑞星,会被病毒利用
进程名 ravmond.exe 路径 瑞星所安装的文件夹 说明 瑞星
进程名 ravstub.exe 路径 瑞星所安装的文件夹 说明 瑞星
进程名 ravtask.exe 路径 瑞星所安装的文件夹 说明 瑞星
对于系统进程加载的DLL,这个需要具体分析,很多盗号木马运用了这个方式,那就要经过下面三步去完善。
3、 看启动项(包括注册表启动项、启动文件夹、服务、驱动)
看了进程以后,对那些是可疑文件有了一定了解后,就可以来看启动项目。SRE这个日志非常适合新手使用,因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏,对于服务,驱动需要经验才能动,下面我一项一项的介绍。
注册表启动项
在SRE里面,这册表启动项包括了Winlogon启动,普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了,当然因为每一种系统(盗版方式不同或者正版等等)不同,可能扫描出来的不仅相同,剩下的需要大家经验积累。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation](启动输入法)
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微软输入法启动项)
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation] (微软输入法启动项)
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation] (微软输入法启动项)
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation](Winlogon启动项,逗号后面若有东西90%是病毒)
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A](初始化动态链接库,若这里面有东西90%是病毒)
以上只进行了概述,具体请看下面回复的表二
软件启动项列表(表二)(希望有人可以提供,我只知道有启动项,但是我这里不知道具体内容,我会尽量在卡卡里面寻找)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下面的软件
超级兔子
<Super Rabbit IEPro><C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD> [Super Rabbit Soft]
MSN Messenger
<MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background> [(Verified)Microsoft Corporation](安装系统后的基本设置)
Google工具栏
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面的软件
微软拼音
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]
暴风影音
<StormCodec_Helper><"C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti>
NVIDIA显卡
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [(Verified)NVIDIA Corporation]
声卡
摄像头(不同品牌的不同)
<BigDog305><C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)>
超级解霸
瑞星杀毒软件
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.]
瑞星个人防火墙
<RfwMain><"F:\Rising\Rfw\rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.]
卡卡上网助手
<runeip><C:\Program Files\Rising\KakaToolBar\runiep.exe> [Beijing Rising Technology Co., Ltd.]
金山毒霸
江民杀毒软件
Emule
金山词霸
Nero
<NeroFilterCheck><C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe> [Ahead Software Gmbh]
Real系列
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [(Verified)RealNetworks, Inc.]
酷狗
<KuGoo3><E:\Program Files\KuGoo3\KuGoo.exe> [N/A]
腾讯搜搜
<stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe> [Tencent]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的软件
瑞星杀毒软件
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]
启动文件夹
这个最好看,只有部分软件修改这里,典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少,早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。
服务
这个比较好看,第一看服务名称后面的状态,SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态],其中当前运行状态是表示扫描的时候计算机是否运行了此服务,Running表示运行、Stopped表示没有运行;启动状态,表示此服务是如何启动,Auto Start表示自动,Disabled表示已禁用,Manual Start表示手动启动。其中重点看Running和Auto Start的项目,如果此项目和你安装的软件和驱动程序无关,那就可能是病毒。
这里请看下面回复的表三
服务列表(表三)(只说明除微软以外的,希望有人帮我补充)
正常
不明,但是正常
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
NVIDIA显卡
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
瑞星杀毒软件
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
<"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
<"C:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
VMware虚拟机
[VMware Authorization Service / VMAuthdService][Running/Auto Start]
<C:\Program Files\VMware\VMware Workstation\vmware-authd.exe><VMware, Inc.>
[VMware DHCP Service / VMnetDHCP][Running/Auto Start]
<C:\WINDOWS\system32\vmnetdhcp.exe><VMware, Inc.>
[VMware Virtual Mount Manager Extended / vmount2][Running/Auto Start]
<"C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe"><VMware, Inc.>
[VMware NAT Service / VMware NAT Service][Running/Auto Start]
<C:\WINDOWS\system32\vmnat.exe><VMware, Inc.>
金山毒霸
江民杀毒软件
病毒服务
服务对应路径:C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start
其中病毒文件在C:\WINDOWS\system32\windhcp.ocx
服务对应路径:C:\WINDOWS\system32\\rundll32.exe windds32.dll,input
其中病毒文件在C:\WINDOWS\system32\windds32.dll
SRE扫描结果:
[Win32 DHCP Service / Win32DHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.dll,start><Microsoft Corporation>
服务对应路径:C:\WINDOWS\system32\rundll32.exe windhcp.dll,start
其中病毒文件在C:\WINDOWS\system32\windhcp.dll
SRE扫描结果:
[ZT Massacre / ZTmassacre][Running/Auto Start]
<C:\WINDOWS\help\ZTpass.exe><N/A>
服务对应路径:C:\WINDOWS\help\ZTpass.exe
其中病毒文件在C:\WINDOWS\help\ZTpass.exe
SRE扫描结果:
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input><Microsoft Corporation>
服务对应路径:C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input
其中病毒文件在C:\WINDOWS\system32\xpdhcp.dll
驱动
我经过5年的杀毒经验,也不敢轻易动这个项目,只能介绍一条经验,就是如果一个驱动全部为数字,可能为病毒文件。因为现在各种品牌的驱动都不一样,所以其他的就记不住了。
请看表四
驱动列表(表四)(我对驱动也不是非常了解,只介绍某些非正常的,我会不断更新)
Trojan.Agent.bav释放的Trojan.PSW.LMir.jsk
病毒驱动对应路径:C:\WINDOWS\system32\drivers\npf.sys
Trojan.Agent.dex
病毒驱动对应路径:C:\WINDOWS\system32\drivers\KSDT1983.sys
鉴于启动项确定比较困难,希望新手在安装计算机后,做一次扫描备份,可以通过对比的方法,来看是否增加了启动项,如果此期间没有安装任何驱动和软件,那么就可能不是正常文件,就要小心的进行检查了。
