逐梦论坛's Archiver

shillan 发表于 2006-6-20 01:00

[转帖]查杀QQ蠕虫病毒 Worm.qqmsgmyrun.b.30406、Worm.QQTran.h.21504 、Worm.QQTr

所谓“进程”,指的就是一个可执行程序或者一种系统服务。简单的说就是计算机正在处理的“一件事情”就叫做“一个进程”。察看/分析进程的工具有很多,最常见的是采用ctrl+alt+del热键调出来的任务管理器查看。任务管理器中“进程”选项卡显示计算机上正在运行的进程的相关信息。([color=#6600ff][b]图01[/b][/color])

[align=left][img]http://zplinux.go3.icpcn.com/img/article_05_101.jpg[/img]


在“进程”选项卡上点击“察看”——“选择列”。就可以自定义需要察看的进程的相关信息。下面是我推荐的需要察看进程信息的选项。([color=#6600ff][b]图02[/b][/color])
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_102.jpg[/img]


自定义信息显示栏目以后,效果图如下:([color=#6600ff][b]图03[/b][/color])
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_103.jpg[/img]


其中:映像名称指的是进程的名称,一般就是对应程序的名称。pid是进程编号,这个数字是唯一的,也是随机出现的。用户名是指执行这个程序的使用者,常见的有local service(本地服务)、network service(网络服务)、system(系统进程)、administrator(用户进程,这个名称是你登陆的时候的用户名,系统默认账号为administrator),平时进行维护的时候需要关注的是用户进程,有害的程序大多数都是以用户的身份运行的。cpu、内存使用、虚拟内存大小这三项是指进程占用的系统资源的多少,这三项的数值越小越好。但是有一个进程是特殊的——system idle process,它指的是cpu空闲比例,这个数值越大,表明可用的cpu资源越多。
学习进程的知识除了更好的理解操作系统原理以外,一个重要的作用就是对付疑难杂症,尤其是木马/病毒。病毒要造成破坏的话,前提条件必须是激活状态的,也就是说处于运行状态。沉睡中的病毒,只要不去运行它,它不能给你带来任何危害。
病毒运行也是有规律的。最简单的是以一个独立进程的形式起作用,并没有依附于其它程序或者服务存在。对付这类型病毒最简单了:采用杀毒软件直接查杀,基本上都可以直接清楚。个别的提示清除失败,也会通过杀毒软件的日志察看到病毒所在位置和病毒的文件名称。之后进入任务管理器或者其他进程察看程序,找到对应的进程,选择“结束该进程”,之后重新用杀毒软件扫描,就可以轻易的清除掉病毒。
第二类型的病毒稍稍复杂一些,它会依附于其它的进程或者服务。对付这类型病毒采取的办法也不算复杂。这里推荐一个软件给大家:process explorer v9.11.exe 。这个软件是我所用过的功能最强大的进程察看/管理软件。运行以后的界面见([color=#6600ff][b]图04[/b][/color])所示:
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_104.jpg[/img]


不同类型的进程用不同颜色区分分类排列,自上而下是树型结构,可以和资源管理器文件/文件夹的树形图类比进行理解。从上面可以看到,从ctfmon.exe到process explorer v9.11.exe,一共八个程序处于平级,相互间没有依存关系。但是这八个进程都隶属于explorer.exe。conime.exe是与explorer.exe平级。以此类推。关于这些系统进程是做什么用的,哪些属于正常的进程,哪些属于有害的进程,需要靠经验的积累来分辨,有一个很好的网站 [url=http://www.dofile.com/][color=#6633ff]http://www.dofile.com[/color][/url] 可以很方便的查询进程的作用和处理的办法。例如这个网站中对于explorer.exe进程的解释如下:windows程序管理器或者windows资源管理器,它用于管理windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。
处理依赖于别的进程存在的病毒,需要先结束它以来的上一级进程,并且结束它本身的进程,之后就可以用杀毒软件清理掉了。
第三类病毒是比较头痛的,这类型病毒感染计算机以后,会修改注册表、替换系统文件,查杀过后将会导致系统不稳定甚至崩溃。对付这类型的病毒,需要根据具体情况灵活处理,不过有一点是可以肯定的——只要冷静的分析,并且借助有效的工具软件,是完全可以查杀这类型病毒的。
下面就用两个比较常见的病毒的例子,进一步说明清除病毒常规的操作。
第一个病毒,是比较常见的qq蠕虫病毒,中招的以后,将会不断的给所有的qq好友传送病毒文件的拷贝。进行演示的病毒名称是:worm.qqmsgmyrun.b.30406 ([color=#6600ff][b]图05[/b][/color])[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_105.jpg[/img]


病毒是2004年06月01日发布的。为了便于说明,我采用金山毒霸dos版进行演示,病毒库为2005年08月20日。其他的杀毒软件都可以查杀。杀毒记录见([color=#6600ff][b]图06[/b][/color]):[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_106.jpg[/img]


可以清楚地看到,内存中查杀掉了一个正在运行的进程,对应的文件是:c:\windows\system\rundll32.exe(这里需要说明的是,操作系统中确实存在rundll32.exe这个文件,不过正确的位置是:c:\windows\system32\rundll32.exe,病毒很具有迷惑性!)
硬盘中的文件感染病毒的有两个: .exe(空格.exe)、notepad .exe(notepad空格.exe),都是位于c:\windows\system32\ 目录下,杀毒记录显示所有的病毒都"delete ok!",很成功,对吧!
不过五秒钟以后当你想打开浏览器看新闻的时候,问题来了—— ([color=#6600ff][b]图07[/b][/color])[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_107.jpg[/img]


弹出警告对话框,提示找不到文件。进入对应的目录:c:\program files\internet explorer\ ,发现 iexplore.exe 乖乖的躺在那里,既没有改名也没有删除。双击该程序,跳出的对话框依旧。换其他程序——qq、winamp、realplayer、cs ……所有的*.exe可执行文件都着魔了,情形依旧!!!
小意思,只不过是病毒破坏了*.exe可执行文件的关联方式,只需要使用我提供的[fix]-修复exe类型文件关联.reg ,双击这个文件选择导入注册表,问题就解决了!([color=#6600ff][b]图08、09、10[/b][/color])[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_108.jpg[/img][/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_109.jpg[/img][/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_110.jpg[/img]


修复*.exe关联以后,ok了!不过——
当想打开*.txt文本文件的时候,问题又来咯:([color=#6600ff][b]图11[/b][/color])[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_111.jpg[/img]


跳出上面的对话框,细心一些就可以看到,显示无法找到的居然是病毒文件notepad .exe(notepad空格.exe),正常的应该是:notepad.exe(没有空格)。可恶的病毒!没关系,就在这个对话框里面点击浏览,进入c:\windows\system32\ ,找到正确的notepad.exe,点击“确定”就可以了。([color=#6600ff][b]图12、13[/b][/color])[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_112.jpg[/img][/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_113.jpg[/img]


至此,这个病毒带来的问题全部解决。
第二个病毒,也是个qq蠕虫病毒,中招的以后的现象与前面的类似,也是不断的给所有的qq好友传送病毒文件的拷贝,不过这个病毒比前面的要厉害一些咯,这是两天前我收集到的病毒样本。这个病毒文件中内含了一个病毒的两个变种:worm.qqtran.h.21504 、worm.qqtran.40 ([color=#6600ff][b]图14[/b][/color])[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_114.jpg[/img]


运行这个病毒样本,立即跳出一个对话框,提示系统文件被恶意替换,要求插入windows安装光盘进行修复,([color=#6600ff][b]图15[/b][/color])——以后见到类似的情况,一定要警觉起来哦![/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_115.jpg[/img]


由于我是进行病毒测试,所以我点击了忽略这个错误,继续操作。运行金山毒霸dos版 v2005.08.20,扫描结果如下:([color=#6600ff][b]图16[/b][/color]),可以清楚地看到,除了c:\windows\explorer.exe以外,其余病毒都已经清除掉了。这里需要说明的是clean ok!与delete ok!的区别,两者都是成功清除了病毒,而clean ok!指的是病毒感染了计算机上的程序,类似于病毒“捆绑”上了正常的文件,clean操作就是将捆绑上去的病毒清除掉。delete ok!指的是删除了病毒文件,这类型病毒是以一个病毒原体的形式出现的,文件本身就是一个病毒,区别于“捆绑”。这类型病毒一般比感染正常系统文件的“捆绑”型病毒好对付一些。而不幸的是,这个例子中没有清除掉的病毒恰好就是“捆绑型病毒”!!![/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_116.jpg[/img]


前面已经讲解了,c:\windows\explorer.exe 是windows程序管理器或者windows资源管理器,它用于管理windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。
如果系统盘(c盘)文件系统采用的是fat32,那就好办多了。思路很简单——首先想办法进入dos界面,然后采取杀毒或者文件替换都可以。
进入dos的办法:
1.可以重启计算机,在启动过程中按f8键选择进入“带命令行提示的安全模式”
2.直接用带有dos启动功能的软盘、优盘、光盘引导计算机进入dos界面
处理病毒文件的办法:
1.执行金山毒霸dos版,或者其他dos界面的杀毒软件,清除掉病毒。
2.找windows安装光盘将相应的explorer.exe文件提取出来覆盖硬盘上被病毒感染的文件就可以了。
如果系统盘(c盘)文件系统采用的是ntfs,上面的方法就无效了。由于dos界面下是无法访问ntfs分区的,就算借助软件也最多能够对ntfs格式分区进行读取操作而不能够写入。不巧的是出于安全和性能优化的目的,大多数人的系统盘采用的文件系统就是ntfs,比如我的计算机……
下面采取的办法就是在windows界面中搞定这个病毒,采取的思路如下:
既然删除explorer.exe文件或者结束explorer.exe进程该程序会导致windows图形界面无法适用,那么我们还需要在dos命令寻找合适的解决途径——简单的说,windows图形界面无非就是一个直观的文件/目录管理框架,专业一些的称呼叫做“壳”(shell)。抛开这个“壳”,只要我们仍然能够对文件/目录进行浏览、拷贝、删除、替换、重命名……等操作,我们就可以达到目的了。
首先我们备份一个感染病毒的explorer.exe文件,一会儿我们需要删除 c:\windows\ 目录下的 explorer.exe,为什么要这样操作呢?——不妨做个实验:
在正常的情况下,ctrl+alt+del热键调出任务管理器。切换到“进程”选项卡并找到explorer.exe进程。选择结束该进程。你会发现windows的资源管理器关闭了,开始菜单、任务栏、桌面所有的快捷方式和程序、所有的窗口都看不到了,能够看到的仅仅是当前正在运行的程序窗口,比如ie、qq、记事本程序,还有后面我们用到的dos窗口。几秒钟过后,explorer.exe进程将自动重新启动,图形资源管理器界面重新出现。
在explorer.exe进程正在运行的时候,该文件处于锁定状态的,只能够对c:\windows\explorer.exe文件进行读操作,而不能够修改、替换、重命名。为了解决这个矛盾,我们只好采取备份一个感染病毒的c:\windows\explorer.exe文件到c:\explorer.exe([color=#6600ff][b]图17[/b][/color])。[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_117.jpg[/img]


借助killbox这个软件(qq共享safe.tools目录下)结束explorer.exe进程的同时删除c:\windows\explorer.exe([color=#6600ff][b]图18[/b][/color])。[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_118.jpg[/img]


结束explorer.exe进程并删除文件以后的情形([color=#6600ff][b]图19[/b][/color]),可以看到dos命令行窗口依然存在。[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_119.jpg[/img]


采用命令行方式启动金山毒霸dos版,对c:\explorer.exe扫描,提示信息显示clean ok!,病毒已经成功清除掉了。([color=#6600ff][b]图20[/b][/color])[/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_120.jpg[/img]


剩下的就是将c:\explorer.exe拷贝回到系统默认的位置:c:\windows\explorer.exe ,直接在dos窗口中运行c:\windows\explorer.exe ([color=#6600ff][b]图21[/b][/color]),熟悉的资源管理器、开式菜单、桌面……又都回来了。到这里,这个病毒才真正被消灭掉了。 [/align][align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_121.jpg[/img] [/align]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.